I Data Protection Management Tools per proteggere i dati personali e renderci più liberi

GDPR, Data Protection Management Toolsdelle normativa

I Data Protection Management Tools per proteggere i dati personali e renderci più liberi.

Ad oltre 20 anni dall’entrata in vigore della prima ‘legge sulla privacy’, le sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica alle esigenze di tutela dei dati personali hanno reso indispensabile un cambio di paradigma.

La pervasività degli ambienti social, la correlazione tra Big Data, profilazione e trattamenti automatizzati, l’evoluzione e le nuove potenzialità offerte dall’Internet of Things e dalle app mediche, hanno infatti imposto  un cambiamento culturale e di approccio verso una diversa consapevolezza del valore dei dati nella moderna società tecnologica, recepito dal testo del nuovo regolamento europeo sui dati personali che indubbiamente costituisce un salto di qualità per le imprese, le pubbliche amministrazioni e gli stessi cittadini.

Il passaggio dalla ‘vecchia privacy’, basata su adempimenti formali a tutela dei diritti degli interessati, alla nuova ‘data protection’ basata sull’accountability rappresenta un impatto organizzativo significativo per le Aziende e richiede la definizione di un processo strutturato basato su attività, ruoli e responsabilità, che non può essere più supportato esclusivamente dagli strumenti tradizionali di office automation o da generiche funzionalità di project management ma che necessita di tool dedicati, i cosidetti ‘Privacy Management Tools’ o anche, più opportunamente, ‘Data Protection Management Tools’.

Infatti tanto la necessità di informatizzazione dei processi correlati ai nuovi adempimenti previsti dal GDPR, quanto l’ esigenza di fornire evidenze a supporto dei processi di compliance adottati, facilitando una comunicazione personalizzata con i vari stakeholders interni ed esterni e coordinando i programmi di formazione e consapevolezza sulla data protection rendono indispensabile per le Aziende a media e elevata complessità valutare l’adozione di strumenti gestionali a supporto della data protection; strumenti che devono supportare le Aziende nel disegnare, implementare, gestire e documentare processi che spesso coinvolgono in modo trasversale l’organizzazione, convogliando sui singoli adempimenti i corretti stakeholder in modo trasparente e coordinato.

Si pensi ad esempio alla necessità, per Titolare e Responsabile, di identificare, formalizzare e aggiornare in modo continuativo la struttura di governance della data protection e di istituire come strumenti operativi i registri delle attività di trattamento. Tali Registri devono contenere, e mantenere aggiornate, una lunga serie di informazioni quali i propri dati di contatto, le finalità del trattamento, le categorie di interessati e di dati trattati, le logiche di conservazione e cancellazione dei dati, gli strumenti utilizzati per il trattamento, le misure di sicurezza tecniche ed organizzative adottate.

Vi è poi l’obbligo di adottare una valutazione dei rischi ex ante, sin dalla fase di progettazione delle attività di trattamento, correlata con l’obbligo per il Titolare di effettuare, sui trattamenti che presentino rischi elevati, la valutazione dell’impatto del trattamento sulla protezione dei dati.

La stessa gestione dei data breach richiede l’adozione di un processo organizzativo strutturato, aggiornato e testato che consenta di soddisfare gli obblighi previsti dal Regolamento nei tempi stringenti dallo stesso previsti.

Analogamente le aziende dovranno essere in grado di gestire, con i tempi e le modalità definite dal Regolamento, tutte le eventuali richieste degli interessati, a partire dai nuovi diritti quali il ‘diritto all’oblio’ ed il ‘diritto alla portabilità’ dei dati.

Lo stesso superamento della logica delle misure minime di sicurezza con il concetto di garantire un livello adeguato di sicurezza, funzione non solo dei rischi correlati al trattamento in analisi, ma anche dei costi di attuazione, delle finalità del trattamento, del contesto di riferimento, richiede un approccio ‘risk based’ che non può che essere basato su strumenti informatici disegnati ad hoc.

Analogamente Il concetto di accountability, che permea l’intero nuovo Regolamento, richiede che Titolari e Responsabili del trattamento dei dati personali non solo garantiscano il rispetto della normativa ma siano in grado di comprovarlo, attraverso documenti ed evidenze che testimonino la correttezza dei processi di compliance e dei flussi decisionali sottostanti.

Infine, il Regolamento Europeo individua nella formazione e nella sensibilizzazione del personale elementi di fondamentale importanza affinché ogni organizzazione possa operare con la piena consapevolezza delle regole e delle tutele da prestare nel trattamento di dati personali. Anche in questo caso un ‘Data Protection Management Tool’ correttamente disegnato può supportare la gestione di un programma di training anche in logica multicanale, personalizzato sui bisogni dello specifico target fruitore (titolari, responsabili, incaricati/autorizzati, terze parti), con la tracciatura dei partecipanti, l’elargizione di test e verifiche di apprendimento e la registrazione dei risultati conseguiti.

Concludendo, se, citando l’ amico Avv. Marco Maglio ‘i dati personali sono diventati un bene giuridico ad alto valore, una materia prima molto preziosa, l’essenza stessa della persona’, ed è giusto che si lavori per rafforzare le leggi che tali dati proteggono, i Data Protection Management Tools diventano strumenti necessari ed indispensabili per una corretta applicazione delle normativa poiché favoriscono un modo di lavorare trasparente, consapevole e leale verso gli interessati. Perché ognuno di noi possa essere realmente più tutelato e sentirsi -in ultima istanza- davvero libero.

 

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

The following two tabs change content below.
Value Data Trust

Value Data Trust

ValueDataTrust opera, in particolare, nei settori bancario e assicurativo, farmaceutico e sanitario, utilities, telco, digital e teleselling. Può supportare con competenze specifiche, servizi e soluzioni qualunque attività in ambito Privacy e Data Protection, con particolare riferimento agli adempimenti previsti dal GDPR (Assessment, DPIA, Privacy Management Tool, DPO in outsourcing, formazione, e-learning).

Lascia un commento