L’Autorità Garante per la protezione dei dati personali ha recentemente ribadito come il tema degli attacchi costituirà oggetto di indagine ai fini dei controlli di propria competenza per il primo semestre 2021. A quasi tre anni dall’ entrata in vigore del Regolamento Europeo per la protezione dei dati personali molte aziende ignorano ancora la portata specifica delle norme relative all’ accountability presenti nel Regolamento stesso.
L’articolo 24 prevede espressamente che il Titolare del trattamento ponga in essere misure tecniche ed organizzative riesaminandole e riaggiornandole. E proprio con riferimento alle misure tecniche occorre ricordare come i vari provvedimenti dell’Autorità nazionale e dell’European Data Protection Board in questi tre anni abbiano più volte ribadito la necessità di dimostrare la valutazione dei rischi originariamente effettuata con l’entrata in vigore del Regolamento e le varie evoluzioni che possono aver variato i rischi stessi con riferimento ai fornitori sui quali possono essere stati esternalizzati trattamenti o attività di assistenza e manutenzione.
Il tema è dunque particolarmente rilevante per chi opera nei sistemi informativi in quanto pur restando in capo al Titolare l’onere di porre in essere una regia rispetto a queste valutazioni resta inteso come soltanto chi effettivamente opera sulle misure tecniche stesse possa dare un contributo in tema di valutazione dei rischi e selezione anche degli strumenti mediante i quali poterli andare a rilevare.
Gli ultimi mesi hanno visto aumentare in modo esponenziale gli attacchi informatici; nonostante ciò le aziende ancora oggi continuano a dissociare il tema dell’ obbligatorietà normativa della valutazione dei rischi dall’ efficacia che tale adeguamento normativo potrebbe produrre anche sulla prevenzione di eventi dannosi per il business.
In questo panorama assumono una funzione fondamentale i Data Protection Officer (DPO) i quali dovrebbero farsi portatori non solo di una sorveglianza passiva atta ad intervenire laddove vi siano richieste specifiche da parte del Titolare o dei suoi responsabili, ma anche per promuovere attivamente una cultura “di allineamento” tra i sistemi informativi ed i correlati obblighi normativi. Sotto questo profilo si notano delle forti carenze lamentate anche in più provvedimenti emanati dall’Autorità Garante per la protezione dei dati personali rispetto al coinvolgimento dei DPO sui progetti di informatizzazione e digitalizzazione in via preliminare al fine di poter consentire al DPO stesso di poter fornire indicazioni idonee affinché investimenti piuttosto che scelte di business avvengano in linea con le prescrizioni normative. Occorre ricordare che in caso di controllo della Guardia di finanza proprio il tema della valutazione dei rischi e di come la stessa sia stata formulata, rappresenta uno degli elementi necessari per verificare la conformità dell’approccio adottato da parte dell’azienda nell’applicare il Regolamento in materia di privacy.
Il rapporto, pertanto, tra DPO e sistemi informativi deve essere di “continuità”: dalla fase di pre-selezione dei fornitori, a quella di attivazione di un progetto sino alla verifica del recepimento e della conformità normativa una volta posti in essere obiettivi afferenti l’area informatica che possano pregiudicare la sicurezza dei dati. Di tali attività occorre dare una tracciabilità che deve trovare nel DPO una regia ben organizzata e costantemente allineata sugli eventi che caratterizzano gli aspetti di digitalizzazione ed informatizzazione dell’azienda.
Proprio la tracciabilità sembra essere invece uno degli aspetti meno valorizzati e meno compresi allo stato attuale. Benchè il Regolamento non citi mai in modo diretto vulnerability assessment e penetration test, questi sono indubbiamente soluzioni che consentono di dimostrare l’avvenuta analisi delle tematiche di sicurezza. E se da una parte le misure tecniche sono fondamentali, l’altra “metà del cielo” è rappresentata dalle misure organizzative, che anche in questo caso costituiscono oggetto di controllo da parte degli organi preposti. Dunque anche su questo fronte il flusso collaborativo tra DPO e sistemi è imprescindibile: si considerino ad esempio le misure organizzative di base che debbono disciplinare il modus operandi in caso di data breach piuttosto che di gestione degli amministratori di sistema o di valutazione del privacy by design rispetto a nuovi applicativi da inserire in azienda: laddove vi sia carenza delle definizioni di questi aspetti che dovrebbero essere disciplinati dalle misure organizzative, il rischio è che all’azienda venga sollevato un tema di non conformità per carenza di procedure o processi atti a garantire il reale recepimento del Regolamento nella gestione “quotidiana”.
È essenziale quindi che il Responsabile dei sistemi informativi aziendali si lasci “stimolare” ed a sua volta “stimoli” sotto il profilo privacy le relazioni con il DPO nell’interesse dell’azienda, ricordando che quando parliamo di tutela di dati personali non si può prescindere evidentemente dalla tutela anche delle informazioni aziendali e che le stesse sono fonte di sopravvivenza soprattutto nell’attuale panorama economico internazionale!
Articolo pubblicato su The Innovation Group
L'articolo DPO e sistemi informativi a tre anni dall’entrata in vigore del GDPR proviene da Colin.