Ci siamo, stiamo chiudendo il cerchio di questa prima ricognizione nel mondo della protezione dei dati personali.

Quest’ultimo appuntamento verterà sulle attività di assessment da svolgere periodicamente, come parte integrante del percorso di accountability che ogni Titolare del trattamento e ogni Responsabile è tenuto a fare. Per capire realmente però l’importanza di tali attività è però necessario soffermarsi prima sul perché abbiamo parlato di protezione dei dati personali e non solo di privacy.

La privacy, infatti altro non è che solo una piccola parte della protezione dei dati personali. Non ne sei convinto?
Immagina allora di trovarti nella situazione in cui hai bisogno di ricevere una terapia ospedaliera, la cui formulazione però è salvata nei database della struttura, criptati completamente e quindi inaccessibili. I tuoi dati personali potrebbero non essere stati visti da nessuno che non ne abbia il diritto ma non sarebbero disponibili nemmeno per te.

Ecco perché, quindi, è necessario parlare di protezione dei dati personali; i rischi, le conseguenze e gli usi illeciti dei dati nei casi di loro violazione possono andare ben oltre la perdita di riservatezza.

Proprio per questa ragione è quindi necessario svolgere delle attività di assessment periodiche, volte ad individuare i rischi e a consigliare le azioni correttive.
Chiarite le ragioni, si può passare a rispondere ad un’altra domanda su queste attività:

l’assessment o gli assessment?

Senza dubbio gli assessment. Si tratta infatti di attività estremamente specialistiche che sono più efficaci quanto più sono limitate nel proprio oggetto.

Nello specifico della protezione di dati personali, gli assessment (o anche “audit”) da svolgere sono tre:

  • giuridico;

  • organizzativo;

  • tecnico.

Il primo verifica la regolarità della documentazione interna ai dettami legislativi, il secondo valuta il sistema interno di gestione dei dati, per vedere che corrisponda con quanto dichiarato e per valutare eventuali migliorie da poter implementare. Il terzo, invece si volge sull’infrastruttura IT, valutandone la sua sicurezza e la sua efficacia, dato che come si è visto nell’esempio fatto in apertura, la protezione dei dati personali non riguarda solo la loro riservatezza ma anche la loro integrità e disponibilità.

Si tratta di attività che è bene ripetere con cadenza almeno annuale ma a seconda del contesto del trattamento e delle risorse economiche a disposizione, possono avere anche una frequenza maggiore.

miriade assessment GDPR

Quali sono i vantaggi di un assessment GDPR?

Queste attività non consentono solo di porre al sicuro la propria attività da eventuali sanzioni delle autorità competenti o da istanze risarcitorie di soggetti interessati da eventuali violazioni dei dati personali trattati, ma sono in grado di portare un beneficio tangibile al proprio business.

Andando con ordine, i primi due assessment sopra indicati consentono, ad esempio, di ottimizzare la raccolta e la gestione dei dati, evitando di dover tornare in seguito a raccogliere consensi o altri dati necessari per le attività, perdendo tempo e probabilmente anche opportunità dato che spesso, contattare nuovamente il cliente per consegnare nuova modulistica, può portare ad un logorio del rapporto. Ancora, con l’assessment gestionale è possibile ottimizzare le procedure interne così da raggiungere un loro efficientamento in termini di tempi e di risultati.

L’assessment tecnico, invece, può portare ad ottimizzare i risultati ma anche i costi e gli investimenti per la sicurezza informatica che, naturalmente, arrivando a garantire anche una maggior sicurezza del patrimonio aziendale e delle informazioni comunicate da altre aziende nell’ambito di rapporti commerciali.

Questi vantaggi strettamente pratici e tangibili portano anche altri effetti positivi: il miglioramento della sicurezza dei dati, tanto gestionale quanto tecnica, porta anche al miglioramento dell’immagine dell’azienda verso i clienti e verso i fornitori.
Questo aspetto, di conseguenza, consente una riduzione delle spese di campagne marketing ed un aumento delle risorse da poter investire altrove.

Da ultimo, come già accennato anche in altre occasioni, garantire una maggior sicurezza dei dati porta degli effetti positivi anche in ottica CSR (Corporate Social Responsibility), dal momento che l’uso improprio di dati personali può anche portare conseguenze estremamente negative nella vita di una persona e questo aspetto non può più essere trascurato da chiunque tratti dati.

La sicurezza dei dati, dunque è sostanzialmente un dovere di solidarietà sociale che si deve verso la comunità, per permettere di usufruire delle nuove tecnologie con i relativi vantaggi senza dover rinunciare alle proprie libertà e ai propri diritti.

A tal proposito riteniamo particolarmente esplicative le parole di A. Soro: “La devoluzione alla dimensione immateriale di pressoché tutte le nostre attività non è un processo neutro, ma comporta, se non assistito da adeguate garanzie, l’esposizione a inattese vulnerabilità in termini non solo di sicurezza informatica ma anche di soggezione a ingerenze e controlli spesso più insidiosi, perché meno percettibili di quelli tradizionali.”.

Cosa può fare Miriade per aiutarti a proteggere i tuoi dati? Il nostro assessment GDPR

I nostri specialist sono in grado di offrirti il servizio completo di assessment con tutte le caratteristiche raccontate sopra.

Con l’assessment giuridico-organizzativo i nostri esperti prenderanno visione dell’organizzazione interna della tua azienda e della modulistica adottata (registro trattamenti; informative; nomine autorizzati al trattamento; nomine eventuali amministratori di sistema; template nomina responsabile del trattamento; policy di accesso ai dati; regolamento interno sull’utilizzo degli strumenti elettronici, cura delle postazioni di lavoro e archivi cartacei; procedura di data breach; policy per esercizio dei diritti degli interessati ed piano formativo del personale in materia di sicurezza e trattamento dati), aiutandoti a comprendere i margini di miglioramento tramite una relazione finale che verrà poi visionata assieme.

L’assessment tecnico invece potrà riguardare molteplici controlli di sicurezza tra cui:

  • Audit Sicurezza Client
  • Audit Sicurezza Server
    • Controllo politiche di accesso ai sistemi.
    • Check preliminare accessi a cartelle e dati sensibili.
  • Audit sicurezza perimetrale
    • Analisi accessi Firewall, e dispositivi di sicurezza attualmente attivi. 
  • Analisi sicurezza sui prodotti esposti esternamente
    • Vulnerability assessment
  • Controllo politiche di backup e disaster recovery;
  • Controllo datacenter fisici
  • Google security assessment che prevede:
    • una fase di analisi dove attraverso l’utilizzo di un’utenza amministrativa sulla piattaforma Google Workspace del Cliente, il tecnico certificato Google Workspace, andrà a condurre un’analisi dell’intera piattaforma con focus sulla sicurezza;
    • una fase di reporting in cui verrà prodotto un report da sottoporre e discutere insieme al Cliente presentando il lavoro svolto nella fase precedente, evidenziando le criticità ed i possibili miglioramenti;
    • una fase di consolidamento volto a sanare le criticità rilevate. Il piano di consolidamento sarà corredato dalle attività con relativi effort, costi e priorità di esecuzione.

Noi di Miriade, grazie ad attività di formazione e di assessment, possiamo guidarti nel definire le migliori pratiche per essere certo di essere compliance con la normativa e applicarne correttamente le direttive nella tua organizzazione.

gdpr cos'è?

Che cos’è il GDPR? Facciamo chiarezza

VAI ALL’ARTICOLO

Scopri i servizi GDPR compliant di Miriade

SCOPRI I SERVIZI

Formazione GDPR: il corso offerto da Miriade

VAI ALL’ARTICOLO