Processo di Governance della Privacy

A cura di:Cristian Rei Ore

Introduzione

La tematica della Compliance alle normative in tema di Privacy e del trattamento dei dati individuali ha un peso sempre crescente nella definizione delle strategie aziendali le quali, nel corso del tempo, hanno approcciato a tali tematiche implementando processi e sistemi al fine di adempiere alle prescrizioni declinate dalle normative di riferimento.

In tale contesto, nell’ottica di un’implementazione ed evoluzione continua del processo di Data Protection necessario per le imprese e di compliance rispetto al nuovo regolamento, sarà necessario avviare un processo di analisi e definizione di un modello che le permetta di valutare l’attuale status di conformità dell’organizzazione, di eseguire un assessment e di misurare lo stato di esposizione al rischio.

Al fine da identificare, definire, implementare e gestire nel tempo le evoluzioni organizzative, processive e tecnologiche necessarie alle aziende, in linea con le strategie e le necessità del business, in riferimento alla nuova normativa europea in ambito Privacy, si rende necessario dotarsi di servizi per la realizzazione di una piattaforma di supporto alla Governance della privacy in linea con la normativa “GDPR” in grado di assicurare un adeguato presidio alla gestione del:

  • Registro Dei Trattamenti
  • Registro Dei Data Breach

La realizzazione di una piattaforma di supporto alla Governance della privacy in grado di assicurare la gestione delle funzionalità dei Trattamenti” e dei consensi correlati; “Registro Dei Data Breach” in linea con la normativa “GDPR”, consentendo agli attori coinvolti di svolgere le azioni previste sui dati di competenza.

In particolare, la componente “Registro dei Trattamenti”  dovrà consentire la gestione di tutti i trattamenti, il legame con l’organizzazione aziendale, con le banche dati e gli strumenti applicativi nonché tutte le informazioni di dominio che contribuiscono alla caratterizzazione dei singoli trattamenti (finalità, base giuridica, tipologia del consenso/contratto, tipologia dati trattati, categorie di interessati e legame con le misure di sicurezza identificate a valle dell’analisi dei rischi e/o della Data Protection Impact Assessment – DPIA).

La componente “Registro Dei Data Breach”  dovrà consentire la gestione di tutte le violazioni di dati personali verificatesi all’interno del contesto aziendale riportando: la tipologia (tipo e natura) del dato violato – dettagli relativi alla violazione (disponibilità dati violati,  misure di sicurezza) – dettagli sull’incident (data ora, posizionamento dei dati, eventuale causa della violazione, numerosità persone impattate dalla violazione, Remediation Plan) – il livello di gravità della violazione dei dati personali.

Inoltre, dovranno essere gestite su base storica le informazioni che riguardano le comunicazioni con gli interessati dalla violazione e con le autorità di controllo includendo la gestione dei documenti inviati e ricevuti.

Impatti del GDPR

La conformità al GDPR richiede un impegno considerevole, mettere in campo una serie di azioni e tecnologie specifiche finalizzate a tutelare i dati trattati dall’azienda al fine di:

  • proteggere i dati durante la memorizzazione e il transito attraverso la rete;
  • garantire la consapevolezza dei rischi tramite un’analisi dei log costante e monitoraggio di chi sta facendo cosa sui vari filesystem di rete;
  • consentire azioni preventive, correttive in realtime contro le vulnerabilità o incident rilevati che possano rappresentare un pericolo per i dati;
  • fornire strumenti di valutazione per l’efficacia delle policy di sicurezza;
  • implementare meccanismi di recupero dei dati che consentano di ripristinare l’accesso ai dati ed ai sistemi quando un incidente ne pregiudica la disponibilità̀;
  • aumentare la consapevolezza degli utenti relativamente alle minacce in termini di sicurezza informatica che si trovano ad affrontare quotidianamente tramite una formazione/informazione, anche solo basilare ma costante;

Il GDPR declina una serie di obblighi e benefici per quanto riguarda le misure tecniche e organizzative tecniche poste in essere per garantire la sicurezza dei dati trattati ad esempio:

  • Tali obblighi devono essere implementati dal Titolare e dal Responsabile del trattamento dei dati personali (art.24 GDPR);
  • I principi di privacy by design e privacy by default sono inclusi in appropriate misure tecniche e organizzative (art.25 GDPR);
  • Danno efficacia al diritto alla portabilità̀ dei dati personali (articolo 20 GDPR) e al diritto all’oblio (art.17 GDPR);
  • Dimostrano che il Titolare e il Responsabile del trattamento hanno garantito un livello adeguato di protezione dei dati personali;

Misure Tecniche

Le misure tecniche includono i controlli relativi alla pseudo anonimizzazione, procedimento che comporta la possibile attribuzione di determinate qualità a un interessato specifico solo attraverso l’utilizzo di informazioni aggiuntive, tipicamente l’impiego di chiavi crittografiche, sistemi di autenticazione, politiche per le password, ecc. e deve essere completato per quanto riguarda le Applicazioni IT utilizzate per l’elaborazione dei dati personali. Nella compilazione delle misure tecniche la funzione IT dovrà fare riferimento alle applicazioni IT utilizzate per i trattamenti di dati personali.

Misure Organizzative

Le misure organizzative includono i controlli relativi alle istruzioni operative fornite ai responsabili del trattamento dei dati e agli incaricati, controlli critici che ogni azienda dovrebbe implementare per mettere in sicurezza la propria infrastruttura.

 

Di seguito uno schema funzionale della Piattaforma di Governance.

Figura 1 – Architettura Funzionale Registro Trattamenti.

Considerazioni

Partendo dal presupposto che il grado di sicurezza di un’azienda sia strettamente legato ai processi organizzativi, dove procedure e sensibilizzazione verso i dipendenti sono gli elementi “core”, le soluzioni tecnologiche finalizzate alla risoluzione di specifiche problematiche dovranno essere individuate analizzando l’ambito secondo reali esigenze e soprattutto garantire un’integrazione completa della preesistente infrastruttura tecnologica al fine da massimizzarne benefici e costi.

La sicurezza è guidata dai processi di business, i quali sono concepiti come attività nelle quali operano: persone, sistemi, infrastrutture, in genere autonomi e interdipendenti, interni ed anche esterni.

La garanzia della corretta operatività e interazione tra i processi e quindi del flusso delle informazioni è data dalla gestione della sicurezza, la quale provvede non solo alla prevenzione di: errori umani e/o procedure, infiltrazioni e attacchi, ma, soprattutto, è arbitro della corretta interazione tra i processi e scambio delle informazioni.

Una soluzione per il monitoraggio della Privacy implica un approccio condiviso, è l’impiego di strumenti omogenei che siano in grado di garantire un framework completo che inizi soprattutto dall’analisi del processo di business fino ad arrivare al processo tecnologico  come ad esempio nell’ambito della protezione dei dati attraverso il processo di cifratura delle informazioni classificate “sensibili” con impiego di soluzioni preconfezionate o sviluppate ad hoc che tengano in considerazione tutto il ciclo di vita del dato (residente o in transito).

 

Articolo a cura di Cristian Rei

Profilo Autore
Cristian Rei

Cristian Rei è business Security Manager di Mediatica Spa, società di riferimento nell’INFORMATION MANAGEMENT e nella 
DIGITAL TRASFORMATION di grandi aziende, pubbliche e private.
Il proprio modello di business la rende il Partner e l’Outsourcer ideale per lo sviluppo di Progetti e l’erogazione di Servizi IT, di Business Operation, Document Management e di Customer Interaction.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Attacco RAMBleed

Attacco RAMBleed

A cura di:Daniele Rigitano Ore Pubblicato il

La continua miniaturizzazione delle componenti elettroniche ha contribuito ad incrementare sensibilmente le prestazioni dei dispositivi: componenti di ridottissime dimensioni che riescono a lavorare con latenze ridottissime a frequenze altissime. A volte però, portare all’esasperazione tali componenti all’interno dei chip può portare alla manifestazione di fenomeni fisici inaspettati: è il caso del “memory bit flip”, ovvero…

Aiuti di stato e affidamenti in house nei servizi ICT

Aiuti di stato e affidamenti in house nei servizi ICT

A cura di:Maurizio Lucca Ore Pubblicato il

La sentenza del T.A.R. Lazio, Roma, sez. III bis, 13 agosto 2019, n. 10528 interviene nel definire i lineamenti delle società in house e l’erogazione di contributi alle stesse. Nel caso di specie, un’erogazione di contributo per complessivi di 27 milioni («13 milioni di euro per il supercalcolo e 14 milioni di euro per servizi»)…

Guida pratica per la difesa cibernetica aziendale attraverso il fattore umano

Guida pratica per la difesa cibernetica aziendale attraverso il fattore umano

A cura di:Giacomo Gabrieli Ore Pubblicato il

Nell’era digitale in costante evoluzione le tecnologie avanzano, le opportunità crescono, e parallelamente aumenta anche la complessità delle sfide informatiche. Le organizzazioni si trovano pertanto di fronte a un costante dilemma: come proteggere i propri dati e la propria reputazione in un mondo sempre più interconnesso? La risposta risiede nell’elemento umano, il cosiddetto Human Factor,…

Il Principio di Accountabilty nel Nuovo Regolamento UE 2016/679 – Seconda Parte

Il Principio di Accountabilty nel Nuovo Regolamento UE 2016/679 – Seconda Parte

A cura di:Massimo Ippoliti Ore Pubblicato il

Nel precedente articolo sono state prese in esame la disciplina in materia di trattamento dei dati personali prevista dal GDPR e le figure ad esso deputate. Tuttavia, dal tenore del nuovo art. 2-quaterdecies del D.lgs 196/2003[1] risulta evidente come la sola dicotomia titolare-responsabile non sia sufficiente a ricostruire l’intera catena organizzativa nell’ambito di un trattamento,…

Comunicato Stampa Post Evento 7° Cyber Crime Conference 2016

Comunicato Stampa Post Evento 7° Cyber Crime Conference 2016

A cura di:Redazione Ore Pubblicato il

Comunicato Stampa – 15 Aprile 2016 Si è conclusa con grandissimo successo la 7° edizione della Cyber Crime Conference tenutasi lo scorso 12 Aprile presso il Centro Congressi Roma Aurelia Antica. 937 visitatori, suddivisi nelle due aule parallele, hanno assistito attivamente ai contributi di illustri ospiti e personaggi di altissimo prestigio come l’Onorevole Domenico Rossi,…

OSINT (Open Source INTelligence) tra metodologia e funzione vitale per le aziende

OSINT (Open Source INTelligence) tra metodologia e funzione vitale per le aziende

A cura di:Redazione Ore Pubblicato il

COS’È L’OSINT In un’era in cui le informazioni valgono più degli asset, saperle gestire è il segreto del nuovo potere. Negli ultimi anni, la digitalizzazione delle informazioni e la condivisione in tempo reale, dove tutti possono fotografare, scrivere, segnalare, su varie piattaforme, blog, social network, si sta dimostrando un’arma potente, dove persone e aziende non…