E' già passato più di un anno dall'obbligo del rispetto del GDPR (25 maggio 2018), per cui chi ha deciso di essere in regola con il regolamento europeo ha effettuato un "assessment", durante il quale dei consulenti hanno verificato lo stato delle procedure, il flusso di trattamento, la conservazione e la custodia dei dati personali ecc...
Chi ha effettuato questa attività ha sicuramente organizzato i propri processi; i più lungimiranti hanno fatto in modo di "sfruttare" l'opportunità di ridisegnare l'organizzazione dei propri dati in modo da garantire la sicurezza anche dei dati non personali (disegni, relazioni tecniche, calcoli e formule...), altri hanno preferito concentrarsi sugli obblighi di legge per minimizzare l'impatto organizzativo e le spese, ma comunque tutti abbiamo dovuto adeguarci alle regole imposte dal GDPR.
Questo però non basta: l'articolo 24 paragrafo 1 ci ricorda:
Articolo 24
Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
...
Per GARANTIRE... ed ESSERE IN GRADO DI DIMOSTRARE... occorre implementare (in funzione delle necessità) degli automatismi di natura informatica od organizzativa che siano in grado di segnalare il mancato rispetto delle procedure definite dal Titolare del Trattamento per la tutela dei dati personali degli interessati; ovvio che misure sofisticate vanno adottate solo dove sia indispensabile avere un controllo in tempo reale, e quindi laddove la gestione dei dati personali sia un Fattore Critico di Successo dell'azienda; nella stragrande maggioranza dei casi è sufficiente adottare un sistema di Audit ALMENO ANNUALE (stimare la frequenza in funzione dei fattori enunciati dall'Articolo 24 del GDPR).
Chi pensa di poter fare a meno di effettuare controlli (indipendentemente dalla modalità e dalla frequenza) corre un GROSSO rischio, in quanto la normativa è relativamente giovane e potrebbero intervenire novità tali da rendere inutili accorgimenti organizzativi precedentemente adottati, oppure potrebbero essere introdotte ulteriori aggiunte, o semplicemente chiariti alcuni aspetti che definiscono esplicitamente alcune attività (ad es. chiarimento del Garante sull'obbligo di mantenimento del log di accesso di utenti con permessi elevati).
In conclusione, indipendentemente dall’avere incaricato o meno un DPO, è consigliabile una verifica periodica dell’aderenza dei processi, dei sistemi e delle procedure alla normativa.
Chi ha effettuato questa attività ha sicuramente organizzato i propri processi; i più lungimiranti hanno fatto in modo di "sfruttare" l'opportunità di ridisegnare l'organizzazione dei propri dati in modo da garantire la sicurezza anche dei dati non personali (disegni, relazioni tecniche, calcoli e formule...), altri hanno preferito concentrarsi sugli obblighi di legge per minimizzare l'impatto organizzativo e le spese, ma comunque tutti abbiamo dovuto adeguarci alle regole imposte dal GDPR.
Questo però non basta: l'articolo 24 paragrafo 1 ci ricorda:
Articolo 24
Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
...
Per GARANTIRE... ed ESSERE IN GRADO DI DIMOSTRARE... occorre implementare (in funzione delle necessità) degli automatismi di natura informatica od organizzativa che siano in grado di segnalare il mancato rispetto delle procedure definite dal Titolare del Trattamento per la tutela dei dati personali degli interessati; ovvio che misure sofisticate vanno adottate solo dove sia indispensabile avere un controllo in tempo reale, e quindi laddove la gestione dei dati personali sia un Fattore Critico di Successo dell'azienda; nella stragrande maggioranza dei casi è sufficiente adottare un sistema di Audit ALMENO ANNUALE (stimare la frequenza in funzione dei fattori enunciati dall'Articolo 24 del GDPR).
Chi pensa di poter fare a meno di effettuare controlli (indipendentemente dalla modalità e dalla frequenza) corre un GROSSO rischio, in quanto la normativa è relativamente giovane e potrebbero intervenire novità tali da rendere inutili accorgimenti organizzativi precedentemente adottati, oppure potrebbero essere introdotte ulteriori aggiunte, o semplicemente chiariti alcuni aspetti che definiscono esplicitamente alcune attività (ad es. chiarimento del Garante sull'obbligo di mantenimento del log di accesso di utenti con permessi elevati).
In conclusione, indipendentemente dall’avere incaricato o meno un DPO, è consigliabile una verifica periodica dell’aderenza dei processi, dei sistemi e delle procedure alla normativa.