GDPR compliance, risk assessment e risk management

09/05/2018


GDPR compliance, risk assessment e risk management sono i trend topic del momento in azienda. La scadenza del 25 maggio 2018, data della piena applicazione del General Data Protection Regulation toglie il sonno non solo a CIO e CISO ma anche a CEO, CMO e CFO. Il tema della protezione dei dati è, infatti, trasversale all’organizzazione e per i suoi manager significa aver chiari processi e procedure utili a garantire la data integrity.

Risk management: sicurezza dei dati e sanzioni GDPR

L’obbligo di uniformarsi ai dettami del regolamento europeo sulla data protection – la cosiddetta GDPR compliance – forza le aziende a ripensare completamente le strategie di risk management. Impone, infatti, pesanti sanzioni alle organizzazioni o agli enti colpevoli di violare gli obblighi relativi al corretto trattamento dei dati personali, alla corretta gestione del consenso e alla tutela rispetto al rischio di data breach (violazioni). Le sanzioni possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, a seconda di quale possa essere l’opzione più gravosa per l’azienda. Costi da capogiro, quindi, che metterebbero in ginocchio il futuro stesso dell’organizzazione. Ecco perché il risk management (la gestione oculata del rischio) assume una valenza ancora più strategica per le aziende con l’entrata in vigore del GDPR.

GDPR compliance: risk assessment, Privacy Impact Assessment (PIA) e Data Protection Impact Assessment (DPIA)

Il GDPR promuove il concetto, fondamentale per l’impianto normativo, di “privacy by design”. Cosa significa questo? Vuol dire che già nella fase iniziale di un progetto o di un’iniziativa bisogna riuscire a individuare i potenziali problemi o rischi alla privacy e mettere in moto da subito le contromisure adeguate. Fondamentale, quindi, il ruolo delle attività di assessment. Un risk assessment efficace rappresenta la chiave di volta per garantire la vera GDPR compliance.
Ma cosa è, in concreto, il risk assessment? Si tratta di un compendio di best practice di sicurezza e data protection che permette all’azienda, o più spesso ai consulenti esterni chiamati a compiere questa attività, una valutazione precisa del profilo di rischio dell’organizzazione. Questo significa, anzitutto, identificare i rischi in grado di compromettere la privacy e la sicurezza dei dati che transitano nei sistemi informativi aziendali, definire il corretto rapporto rischi/benefici e predisporre l’adozione di misure appropriate a mitigare i rischi identificati. Il GDPR richiede che questo processo sia continuo, per tenere conto non solo dell’evoluzione delle minacce e delle tecnologie ma anche di quella del business. Chiaramente, va da sé che il risk assessment è parte integrante delle strategie di risk management.
Diverso è, invece, il Privacy Impact Assessment, un processo strutturato che permette alle organizzazioni di analizzare in modo sistematico, individuare e ridurre i rischi legati alla privacy dei soggetti (clienti, impiegati, fornitori…) coinvolti nelle sue attività. Il PIA rappresenta, quindi, al contempo, una metodologia di risk assessment e di risk management focalizzata sugli aspetti della privacy.
Infine, il Data Protection Impact Assessment è una verifica preliminare, che ciascun titolare può svolgere in autonomia, per valutare necessità e proporzionalità delle attività di trattamento (elaborazione) dei dati nonché i rischi associati. Questa valutazione è funzione di due variabili: il grado di rischio connesso trattamento e il grado di innovatività della tecnologia (hardware o software) con cui il trattamento viene effettuato. Il DPIA non è obbligatorio, ma è richiesto nel caso in cui il trattamento comporti rischi elevati perché si utilizzano tecnologie particolarmente innovative. Il DPIA è un processo utile per la GDPR compliance e, in particolare, per la cosiddetta accountablity (responsabilizzazione). Permette, infatti, all’organizzazione di dimostrare di aver adottato le misure necessarie per garantire il rispetto del regolamento.

GDPR compliance: costi e adempimenti

Gli adempimenti richiesti all’azienda in ottica di GDPR compliance sono diversi e non è facile stimare il costo dell’adeguamento. Da una ricerca pubblicata di recente da EY e IAAP (International Association of Privacy Professionals), condotta su un campione mondiale di 600 esperti di privacy, emerge che l’investimento medio per garantirsi la GDPR compliance è salito dai 349.000 euro del 2016 ai 480.000 euro dello scorso anno. L’importo comprende i costi legati all’obbligo di nominare un DPO (Data Protection Officer), quelli di consulenza e gli investimenti ICT necessari per garantire l’adeguamento dell’infrastruttura di protezione dei dati ai dettami del regolamento.La conformità al GDPR si realizza attraverso una serie di adempimenti e due sono le strade praticabili. La prima è quella che punta a un adeguamento formale al regolamento, attraverso attività di revisione dei documenti principali come il modulo per il consenso. La seconda è quella che mira a sfruttare quest’obbligo per sottoporre a una revisione sostanziale l’impianto tecnologico di gestione della data protection, per renderlo più sicuro e performante, allineandolo anche alle necessità di Business Continuity. (Fonte:Annalisa Casali, https://www.digital4trade.it/)
 

VEDI I CORSI GDPR DI CSQA