Marzo, seconda tappa della Road in avvicinamento alla nuova LPD, due temi chiave da prendere in considerazione: la valutazione di un software privacy, l’importanza di fare una valutazione di un software privacy, e le misure di sicurezza, come effettuare un audit all’interno della propria organizzazione.
Nel primo step, a febbraio, le aziende avevano come obiettivo quello di incominciare a fare un audit sull’analisi dei dati trattati, verificare i documenti esistenti, adesso a marzo, hanno come traguardo quello di mettere per iscritto il tutto, avere una documentazione ben strutturata.
Quanto è importante avere un software di sostegno?
Una delle tematiche più importanti nel settore nell’era digitale è la dinamicità di quest’era, la capacità di riuscire a guidare le aziende in questo percorso di adeguamento alla nuova LPD. Importante è avere un’ampia mappatura di tutte le informazioni inerenti ai trattamenti sui dati personali.
L’applicativo privacy è fondamentale, oltre che per avere una mappatura di tutte queste informazioni, per la possibilità di tenerle costantemente aggiornate.
Quando si lavora coi dati personali, soprattutto in questa era, le aziende hanno necessità di digitalizzare tutte queste informazioni, solo se siamo in grado di gestire i flussi dei dati personali all’interno dell’azienda possiamo essere in grado di dimostrare la compliance alla nuova normativa svizzera nLPD.
È importante dotarsi di un applicativo modulare che vada a governare tutto l’aspetto di gestione. Grazie alla modularità dell’applicativo si riesce quindi a vestire l’azienda di un tool in grado di guidare, di supportare in questo complicato e dinamico percorso. È importante partire da degli audit che inquadrano l’azienda, quindi andando a identificare chi è il titolare del trattamento tramite la mappatura privacy societario, a definire la struttura, l’organigramma, l’elenco dei fornitori, l’elenco degli amministratori di sistema, l’elenco degli asset, per poi andare a inquadrare cosa fa l’azienda nel registro dei trattamenti e che livelli di rischio si individuano per ogni singolo trattamento con l’analisi dei rischi.
Quali sono in sintesi gli elementi principali per valutare un software privacy?
Gli elementi da valutare sono la sua modularità, in prima battuta bisogna tenere in considerazione se il software segue le logiche consulenziali, segue le dinamiche all’interno dell’azienda, importante per dare un sistema agile al titolare del trattamento e poter implementare le informazioni con un apporto di know how e non solamente un apporto tecnico. L’applicativo deve essere agile e deve garantire in questo caso nei vari moduli il rispetto del singolo adempimento con lo scopo di guidare il titolare del trattamento in un percorso sicuro.
La nuova LPD ha introdotto quello che è l’Istituto del data breach e della violazione del dato e quindi tra i primi passi che bisogna fare per il percorso di avvicinamento alla nLPD c’è inserito il cosiddetto audit sulle misure di sicurezza.
Come deve essere gestita una valutazione delle misure di sicurezza?
L’audit sulle misure di sicurezza è una delle attività preliminari per verificare effettivamente le vulnerabilità e se singoli trattamenti potrebbero esporre i dati personali a possibili violazioni e quindi a dei data breach. In caso di incidente informatico che coinvolge i dati personali, i titolari del trattamento dovranno seguire una serie di adempimenti utili a valutare tramite un assessment l’incidente e definire poi effettivamente se chiudere l’incidente internamente o doverlo comunque notificare o comunicare agli interessati.
Se l’azienda si uniforma a quelli che sono i gold standard agli standard principali, quelli di ENISA, si avvicina al 99.9% a quello che saranno le misure richieste anche dalla nuova LPD.
Ovviamente per raggiungere questo obiettivo bisogna investire tempo e denaro, ma come risultato finale si la difesa dei valori della azienda.
Importante è attenzionare il fatto che in questo caso non si parla solo di misure sicurezza tecniche ma anche di misure di sicurezza organizzativa. Solamente con una commissione eterogena di misure tecniche, misure organizzative si riescono a tutelare i dati che vengono trattati all’interno dei sistemi.
