GDPR: privacy e compliance, oltre la data security

Nel corso degli ultimi anni numerose tecnologie cosiddette “dirompenti” hanno spinto le aziende a cambiare e innovare il modo tradizionale di fare business. IoT, AI, Big Data e molte altre tematiche sono talmente nuovo da non essere neppure normate, in alcuni casi e, proprio qui, entra in gioco il GDPR.

La norma europea ha svelato l’arretratezza delle imprese, ad oggi una discreta percentuale delle società deve ancora capire come orientarsi. Sono assenti modelli di governo della privacy, mancano ruoli e responsabilità definite, esiste una mancata definizione dei tempi di retention per i dati personali e sono totalmente assenti processi di gestione dei data breach.
In questo contesto è però positivo notare come la spesa media in security stia nuovamente tornando a crescere. Se, da un lato, gli aspetti legati alla privacy impongono una responsabilizzazione e l’attenzione al percorso dei dati, esistono anche aspetti tecnici da rispettare, altri invece sono discrezionali.
Serve infatti rivedere i processi di sicurezza, da quella fisica, a quella dei sistemi (ridondanza e resilienza), abilitando il monitoraggio proattivo, ma anche piattaforme per la cifratura dati e la pseudonimizzazione dei dati.

In funzione delle attività di una data azienda cliente e del settore di riferimento, esistono oggi soluzioni end-to-end per soddisfare la compliance GDPR. Si tratta di piattaforme “cross industry” e capaci di lavorare con architetture eterogenee.

Specifici pacchetti sono dedicati alle attività di governance, risk e compliance. In questo caso l’obiettivo è il rispetto della data privacy con un approccio basato sul rischio. In questo modo è possibile gestire e mitigare i rischi, ma anche seguire i processi di riconoscimento del dato attivo, la cancellazione per il diritto all’oblio e l’archiviazione per soddisfare requisiti di retention.

GDPR: privacy e compliance, oltre la data security

Per la gestione della fase di documentazione dei processi sono invece disponibili specifiche piattaforme per il controllo e archiviazione, capaci di orchestrare le attività di business e di diventare veri e propri repository centrali per la gestione della compliance. Così facendo, molti processi possono essere automatizzati tramite back-end, come per esempio i report automatici. Simili componenti consentono attività di Sign off, certificazione e monitoraggio e di gestire una serie di regolamenti, anche multi-compliance, rispondendo direttamente ai concetti di accountability e responsabilità.

Nel percorso di validazione relativamente agli accessi degli utenti è inoltre possibile contare su piattaforme ad hoc, deputate all’elaborazione delle analisi di rischio, alla gestione degli accessi e alla certificazione delle autorizzazioni, ma non solo. Tali sistemi incorporano sovente componenti per distribuire l’accountability all’interno dell’azienda, secondo un percorso che prevede il recepimento di specifiche richieste, la relativa analisi e l’assegnazione di controllo di mitigazione e approvazione.

Dato che la protezione del dato e tutti i principi si qui espressi sono validi per la grande enterprise, così come per le PMI, sul mercato sono oggi presenti anche soluzioni per differenti fasce d’utenza.
Tra questi esistono tool digitali cloud-based che si adattano alle esigenze di studi di commercialisti, aziende, professionisti, studi medici, consulenti privacy e Data Protection Officer (DPO).
Si tratta di strumenti indicati anche per i consulenti privacy e Data Protection Officers che hanno la possibilità di condividere lo stesso ambiente di lavoro con studi e aziende clienti, per l’inserimento congiunto dei dati e il controllo.

In molti casi sono presenti procedure guidate in grado di velocizzare e semplificare la creazione e la stampa di tutti i documenti richiesti dalla normativa.
Processi che supportano realmente i responsabili della protezione dei dati (DPO) nel compito di rispettare il principio di trasparenza (accountability), documentando le scelte di compliance alla Privacy e gestendo in maniera integrata l'analisi dei trattamenti, l'analisi dei rischi con librerie di minacce e contromisure precaricate, la gestione delle valutazioni d'impatto (Data Protection Impact Assessment - DPIA), e altro ancora.

Sommario