Allineamento cybersecurity all’art. 32 Reg. 2016/679/UE (GDPR)

Di cosa si tratta

Una volta individuati i punti di miglioramento aziendali attraverso attività come la Gap Analysis, è comunque necessario creare processi per l’implementazione di misure tecniche, per la valutazione dei fornitori già contrattualizzati e quelli da contrattualizzare, nonché per la stesura di policy e procedure interne per regolare i business process e il corretto trattamento dei dati personali. È quindi opportuno procedere metodicamente, elencando e ordinando le azioni di mitigazione, ad esempio in base alla complessità di esecuzione, e creando un piano di rientro.

La nostra metodologia per l’allineamento cybersecurity all’art. 32 GDPR prevede quindi diverse attività di consulenza per la corretta implementazione delle misure di mitigazione proposte in sede di Gap Analysis o consigliate da altre società.
In particolare, si prevedono, a titolo esemplificativo, le seguenti attività:
a. Revisione delle liste degli amministratori di sistema, rendendole compatibili con il provvedimento del Garante Privacy del 27 novembre 2008 e successive modifiche (www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499);
b. Revisione delle procedure per la valutazione dell’operato degli amministratori di sistema, in maniera conforme al suddetto provvedimento, o esecuzione della stessa attività, che viene inoltre verbalizzata;
c. Revisione delle procedure per la gestione degli incidenti di sicurezza e l’eventuale notifica dei data breach, ex artt. 33 e 34 GDPR;
d. Revisione della Policy Strumenti IT o altra documentazione riguardante l’uso accettabile della strumentazione aziendale;
e. Impostazione e redazione di eventuale altra documentazione relativa alla cybersecurity;
f. Assistenza nella predisposizione di tecnologie e procedure per facilitare i diritti dell’interessato (ad es. nel caso di diritto alla portabilità ex art. 20.1 GDPR e del diritto all’oblio ex art. 17.2 GDPR);
g. Assistenza nell’applicazione e proceduralizzazione del principio di Data Protection by Design/Default nella progettazione di nuovi processi, prodotti e servizi, a norma dell’art. 25 GDPR.

Tutte le procedure, i template, e le policy redatte o revisionate verranno successivamente sottoposte ad un’attività di revisione con il Cliente, perché siano il più possibile personalizzate a seconda delle misure di sicurezza in atto, dei sistemi in uso e delle già esistenti politiche aziendali. La presenza di tali documenti non solo contribuisce all’accountability aziendale, ma rende l’azienda/l’ente capace di rispondere reattivamente a eventi quali data breach o richieste di esercizio dei diritti da parte degli interessati.