GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg
mercoledì 20 febbraio 2019
Resilienza e business continuity | di Dott. Alessandro Mammoli
Conformità in tempo reale
Il principio fondante sul quale si basa il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 Aprile 2016) è il Principio di Responsabilizzazione (Accountability), secondo il quale è previsto che il Titolare del trattamento (Data Controller) metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare in qualunque momento, che il trattamento dei dati personali viene effettuato in conformità al Regolamento. In altre parole, si rende obbligatorio per ciascuna attività dimostrare in tempo reale, davanti ad un controllo, che la compliance della propria azienda (o studio professionale) sia sempre aggiornata nel rispetto di tutte le nuove disposizioni che di volta in volta verranno dettate dal Garante, pena sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Sicurezza del trattamento
Ne segue la necessità di predisporre in azienda (o studio professionale) soluzioni di sicurezza che garantiscano la continuità operativa ai sensi dell’art. 32 del G.D.P.R. (“Sicurezza del Trattamento”) che dispone quanto segue:
“tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
E’ quindi importante che tutte le aziende (o studi professionali) che trattano dati personali, inizino sin dalle fasi di progettazione dei processi aziendali, fra le altre attività pianificate, a valutare quali azioni intraprendere per il rispetto del Regolamento (Privacy by design). Sarà quindi compito del Titolare del trattamento (Data Controller) valutare quale misure intraprendere, in funzione di un bilanciamento fra costi, misure tecniche e misure organizzative. Il concetto del bilanciamento è infatti richiamato ai sensi degli artt. 26 e 30 del Regolamento .
Business Resilience e Business Continuity
L’evoluzione tecnologica e i sempre più frequenti attacchi di cyber-sicurezza mirati alla violazione dei sistemi informativi pubblici e privati evidenziano la crescente necessità di dotarsi di strumenti di mitigazione del rischio di compromissione dell’integrità, disponibilità e riservatezza dei dati. E’ importante quindi che il Titolare del trattamento (Data Controller) e il Responsabile del trattamento (Data Processor) diffondano all’interno dell’azienda (o studio professionale) una cultura di Business Resilience, intesa quale continuità operativa volta a fronteggiare tutte le avversità che possono colpire i sistemi e i processi in caso di eventi accidentali e/o intenzionali (Data Breach).
Business Continuity
Sicurezza del trattamento è anche Business Continuity, ossia la capacità di mantenere funzionanti i propri processi di business, i servizi, i sistemi ed anche il capitale umano, malgrado il manifestarsi di situazioni naturali o intenzionali umane avverse, pur ammettendo performance differenti rispetto la normale operatività. La gestione della continuità operativa, è dunque un processo strategico che ha l’obiettivo di:
Affinchè ciò sia possibile è necessario mettere in atto all’interno dell’azienda (o studio professionale) processi di Gestione della Continuità Operativa (Business Continuity Management) che comprendano nello specifico:
In conclusione, se l’azienda (o studio professionale) dispone di un piano di continuità operativa (Business Continuity Plan), il Titolare del trattamento (Data Controller) è agevolato nell’adeguamento al Regolamento perché può far leva sulle best practice di Business Continuity, riferendosi alle procedure di incident management nelle ipotesi di Data Breach (ai sensi dell’art. 33 del G.D.P.R.).
CONDIVIDI QUESTA PAGINA!