Conto alla rovescia verso il GDPR: occorre attivarsi, ma senza panico



Mancano poche settimane al 25 maggio 2018, la data entro la quale le organizzazioni dovranno essere conformi alla normativa General Data Protection Regulation (GDPR), e il quadro della situazione sulla conformità è estremamente variegato.

Ci sono grandi organizzazioni che hanno terminato la fase di valutazione e stanno indirizzando le aree che si sono riscontrate deficitarie, altre che pur avendo iniziato le valutazioni non sono ancora pronte per essere conformi a quanto prescritto dalla normativa europea e, infine, realtà tendenzialmente di piccole dimensioni che non sono neanche partite.

A meno di un mese è importante ribadire che questa data non rappresenta il punto di arrivo e che giungere preparati significa avere definito una strategia di security e di data protection e aver intrapreso un percorso volto a raggiungere obiettivi di breve e di medio periodo.

Per questo è fondamentale partire con una fase di assessment, per valutare con un approccio strutturato il grado di maturità dei propri sistemi di gestione della Privacy e della sicurezza sulla base dei principi innovativi introdotti dal Regolamento. Questa valutazione produce un’analisi dei gap e permette di portare alla pianificazione delle iniziative di adeguamento, ovvero alla definizione di un percorso di implementazione che definisca le aree di intervento prioritario per i prossimi mesi.

Non è quindi troppo tardi per adeguarsi: l’importante è aver attivato le azioni necessarie per mettersi in regola da subito rispetto ai trattamenti dati più rilevanti e più rischiosi all’interno dell’azienda.

È fondamentale conoscere quali sono i dati personali che gestiamo, dove sono conservati, come vengono elaborati e, soprattutto, come vengono protetti e resi sicuri. Inoltre i dati dei clienti devono poter essere recuperati nel caso che i proprietari vogliano ritirarli o eliminarli.

IBM Italia ha dedicato un team multidisciplinare - composto da consulenti di security, privacy e organizzazione aziendale, esperti di tecnologie di sicurezza, di data management e analytics - al fine di integrare attraverso un unico approccio metodologico i servizi consulenziali, le soluzioni organizzative e tecnologiche di IBM a supporto del GDPR.

Alla base vi sono i principali standard ISO in materia di Sicurezza delle Informazioni (famiglia ISO 27000) e Privacy (famiglia ISO 29100). L’approccio è inoltre scalabile in funzione del livello di maturità dell’azienda rispetto ai temi di Privacy e Sicurezza e anche in base alla dimensione aziendale e al budget dedicato.

Tre sono i domini di attività che in IBM abbiamo identificato per coprire, assieme alle aziende, l’intero spettro dei requisiti della normativa:

  • Privacy & Security Compliance Management System, per indirizzare nel complesso la GDPR Accountability. Si tratta dell’area che copre gli ambiti di Strategy, Risk e Compliance, identificazione degli stakeholder, di processo PDCA (Plan–Do–Check–Act), documentazione e gestione delle evidenze.
  • Privacy Enforcement, ovvero l’area basata sulla Analisi dei Rischi di Privacy, per indirizzare identificazione, disegno, sviluppo, implementazione, gestione e raccolta delle misure e degli adempimenti specifici sulla Privacy (Notice, Consent, Personal Data Management, Data Subject Rights Management) e che copre anche le applicazioni e gli aspetti di gestione ICT per le richieste e i diritti degli interessati.
  • Security Enforcement, area basata sull’Analisi dei Rischi Security, per indirizzare identificazione, disegno, sviluppo, implementazione, gestione e raccolta delle evidenze delle misure di Security e degli adempimenti specifici (Data Security, Data Breach, Cryptography).

Se volete approfondire questi temi, potete ascoltare i webinar di IBM che compongono il percorso dal titolo Your GDPR Journey.

09 Maggio 2018

Tomasz Slowinski
@slow_tommy, linkedin.com/in/slowinskitomasz

Visit us on LinkedIn