L’art. 25 del GDPR riporta la dicitura “Il Titolare del Trattamento mette in atto misure tecniche ed organizzative adeguate”, vediamo in dettaglio cosa comporta questa richiesta.

Al di là dell’adempimento alla normativa privacy, può essere considerato un elemento cruciale perché obbliga l’azienda:

• a progettare le attività in modo preciso (e conosciuto);
• a mantenerne il controllo (e aggiornarlo);
• ad ottimizzarle rendendo i flussi di dati “minimizzati e coerenti” nonché protetti.

In pratica è simile alla progettazione di un edificio: si ascoltano le esigenze, si identificano le finalità, verificando la destinazione d’uso e il luogo in cui si vuole costruire (cioè conservare i dati).

Logico che, per determinare i calcoli strutturali e se il terreno è adatto, si effettui uno studio preliminare, che valuta obblighi e vincoli.
Quindi la definizione di protezione e trattamento deve essere determinata dalla progettazione e deve prevedere “obblighi e vincoli“, non solo “le richieste del cliente”.

Fin dalla fase in cui sta progettando la realizzazione l’azienda deve prendere in considerazione le specifiche tecniche, i livelli di servizio, l’assistenza e le garanzie prestate dal fornitore e l’affidabilità di quest’ultimo, oltre all’interazione con i sistemi già esistenti. Questa è il metodo per affrontare la compliance al principio di “data protection by design“.

Vediamo insieme i primi passi:

1. Definire una struttura organizzativa interna all’azienda
   Serve per definire ruoli e responsabilità e dovrà coinvolgere i soggetti di Direzione e di competenza (IT, Security, ma anche il Titolare o l’Amministratore).
   Noi suggeriamo di scegliere, vista la velocità di cambiamento degli ambienti e degli strumenti, una struttura snella ed efficiente piuttosto che imponente, ma che ricomprenda figure preparate e specializzate nei vari aspetti (marketing, tecnologia, legale).
2. Definire procedure “su misura” per la realtà aziendale
   Le procedure non devono essere delle “copie della concorrenza”, ma devono essere coerenti con i processi esistenti, devono individuare i soggetti coinvolti e definirne le attività, assegnando le relative responsabilità. Infine le procedure devono tradursi in istruzioni operative, scritte in modo semplice e comprensibile per tutti e devono essere mantenute aggiornate e adeguate.
3. Progettare
   A questo punto affronteremo il progetto definendone il contesto e facendo uno studio di fattibilità.
   Questo coincide con quello che si definisce DPIA, ovvero “Valutazione di Impatto”, una procedura nella quale vengono stimate le conseguenze del Trattamento, rapportate alle modalità di operazione ed ai rischi di esecuzione delle operazioni.

Innanzitutto dovremo avere:

• una descrizione dei trattamenti che si intendono effettuare;
• quali dati personali si intendono trattare (dati comuni o categorie particolari);
• quali sono gli interessati;
• quali sono le finalità e i principi di liceità su cui si basa il Trattamento;
• quali sono le modalità di raccolta;
• quali soggetti, interni, dovranno trattare i dati e nominare i Responsabili;
• eventuali soggetti esterni dovranno essere coinvolti e che attività dovranno svolgere;
• i tempi di conservazione;
• eventuali trasferimenti dei dati personali intra UE e/o extra UE, comunicazione o diffusione.

Una volta definito il contesto (che equivale a stilare le linee guida di un’informativa) si devono definire ancora:

• Le basi giuridiche e gli adempimenti che ne derivano: ad esempio se sarà necessario il consenso occorre determinare la modalità di raccolta e conservazione e identificare le modalità di revoca dello stesso (es: newsletter, sito e-commerce); ovviamente se il Trattamento è per adempimenti di contratto o di legge sarà sufficiente indicarne la base giuridica idonea nell’informativa.
• Se il trattamento fosse fondato sul legittimo interesse, si deve invece effettuare un ulteriore passaggio: l’assessment.
  Questo consiste in una valutazione del bilanciamento tra i diritti dell’interessato e quelli del Titolare, argomento molto delicato e discutibile, ovvero impugnabile in caso di controllo, pertanto sarà opportuno tenere traccia in un documento.

Se venissero coinvolti fornitori esterni dovremo accertarci che offrano garanzie di qualità sufficienti, e comunque non inferiori a quelle previste da noi nei confronti degli interessati.
Secondo l’art. 28 GDPR già in questa fase si deve valutare l’affidabilità non solo in termini economici e alla capacità di erogare i servizi richiesti, ma anche in merito al fatto che sia in grado di adottare le misure adeguate per far sì che il trattamento sia conforme al GDPR e garantisca la tutela degli interessati. Ed è opportuno inserire un meccanismo di certificazione, presentando ad esempio le SLA (Livelli di Servizio) o le certificazioni di sicurezza adottate (es: ISO/27001, TIS4).

Quando saremo in possesso di queste informazioni potremo procedere a definire il livello di rischio, individuando le minacce e le vulnerabilità.

Normalmente per fare questo ci si affida a tabelle che riportano i rischi più comuni (furto, perdita dei dati, esecuzione dei backup, incendio, infedeltà del personale, etc.), ma come dicevamo prima: ogni azienda deve avere delle situazioni a propria misura, pertanto non deve mai essere esclusa un’analisi dei rischi specifici oltre a quelli generici.

Dopo l’analisi del rischio, si determina il grado di probabilità che si realizzi e il danno che ne potrebbe conseguire. Anche qui dovremo “personalizzare” l’analisi, il rischio sismico potrebbe essere irrisorio per una zona situtata nella pianura padana, mentre elevato in zone dell’Italia centrale, inversamente una zona situata nelle vicinanze del fiume Po potrebbe essere soggetta a rischio alluvione.

Non è un processo “puramente accademico”, ma serve invece a determinare se le soluzioni che andiamo a progettare risulteranno sufficienti, se resterà del rischio da ridurre (mitigare) o se dovremo assicurarlo. La normativa infatti chiede di anticipare il rischio anziché dover riparare il danno, di assumere un atteggiamento proattivo.

Dall’analisi del rischio e dalla conseguente DPIA (Data Protection Impact Assessment) potremmo dover integrare delle misure di sicurezza:

• minimizzare ulteriormente i dati;
• aggregarli o anonimizzarli;
• crittografarli;
• cancellarli in tempi più brevi.