Conformità in tempo reale
Il principio fondante sul quale si basa il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 Aprile 2016) è il Principio di Responsabilizzazione (Accountability), secondo il quale è previsto che il Titolare del trattamento (Data Controller) metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare in qualunque momento, che il trattamento dei dati personali viene effettuato in conformità al Regolamento. In altre parole, si rende obbligatorio per ciascuna attività dimostrare in tempo reale, davanti ad un controllo, che la compliance della propria azienda (o studio professionale) sia sempre aggiornata nel rispetto di tutte le nuove disposizioni che di volta in volta verranno dettate dal Garante, pena sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Sicurezza del trattamento
Ne segue la necessità di predisporre in azienda (o studio professionale) soluzioni di sicurezza che garantiscano la continuità operativa ai sensi dell’art. 32 del G.D.P.R. (“Sicurezza del Trattamento”) che dispone quanto segue:

“tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati persona li in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento."

E’ quindi importante che tutte le aziende (o studi professionali) che trattano dati personali, inizino sin dalle fasi di progettazione dei processi aziendali, fra le altre attività pianificate, a valutare quali azioni intraprendere per il rispetto del Regolamento (Privacy by design). Sarà quindi compito del Titolare del trattamento (Data Controller) valutare quale misure intraprendere, in funzione di un bilanciamento fra costi, misure tecniche e misure organizzative. Il concetto del bilanciamento è infatti richiamato ai sensi degli artt. 26 e 30 del Regolamento .

Business Resilience e Business Continuity
L’evoluzione tecnologica e i sempre più frequenti attacchi di cyber-sicurezza mirati alla violazione dei sistemi informativi pubblici e privati evidenziano la crescente necessità di dotarsi di strumenti di mitigazione del rischio di compromissione dell’integrità, disponibilità e riservatezza dei dati. E’ importante quindi che il Titolare del trattamento (Data Controller) e il Responsabile del trattamento (Data Processor) diffondano all’interno dell’azienda (o studio professionale) una cultura di Business Resilience, intesa quale continuità operativa volta a fronteggiare tutte le avversità che possono colpire i sistemi e i processi in caso di eventi accidentali e/o intenzionali (Data Breach).

Business Continuity
Sicurezza del trattamento è anche Business Continuity, ossia la capacità di mantenere funzionanti i propri processi di business, i servizi, i sistemi ed anche il capitale umano, malgrado il manifestarsi di situazioni naturali o intenzionali umane avverse, pur ammettendo performance differenti rispetto la normale operatività. La gestione della continuità operativa, è dunque un processo strategico che ha l’obiettivo di:

• mitigare i rischi correlati alla continuità operativa aziendale, gestendone gli impatti dannosi a tutti i livelli;
• identificare le vulnerabilità di processi e sistemi che possono compromettere la continuità del business aziendale;
• garantire la “sopravvivenza” delle funzioni primarie dei processi organizzativo-aziendali.

Affinchè ciò sia possibile è necessario mettere in atto all’interno dell’azienda (o studio professionale) processi di Gestione della Continuità Operativa (Business Continuity Management) che comprendano nello specifico:

• la valutazione d’impatto sul business (Business Impact Analysis), ossia una mappatura dei processi aziendali, per individuare le criticità del business, le tempistica di ripristino, e le risorse necessarie affinché il processo possa essere ripristinato ai livelli di normale funzionamento;
• il piano di continuità operativa (Business Continuity Plan), ossia l’insieme di procedure formalizzate che guidano l’organizzazione nella risposta, recupo, ripresa e ripristino a un livello predefinito delle funzioni organizzative critiche, a seguito di un’interruzione;
• il recupero da situazioni di disastro (Disaster Recovery), ossia il processo documentato per recuperare un’infrastruttura IT in caso di disastro (naturale o intenzionale umano).

In conclusione, se l’azienda (o studio professionale) dispone di un piano di continuità operativa (Business Continuity Plan), il Titolare del trattamento (Data Controller) è agevolato nell’adeguamento al Regolamento perché può far leva sulle best practice di Business Continuity, riferendosi alle procedure di incident management nelle ipotesi di Data Breach (ai sensi dell’art. 33 del G.D.P.R.).