La gestione dei dati personali come macroprocesso aziendale

di Danilo Diomede - Coordinatore Tecnico degli schemi IT della Divisione Business Assurance di TÜV Italia

Nella società contemporanea l’informazione ha assunto un ruolo preminente nella catena del valore, anche se la protezione del “bene” informazione non è sempre facilmente gestibile a causa della sua natura immateriale. Il tema assume dimensione critica quando le informazioni da proteggere sono riconosciute come un valore non solo perché frutto dell’ingegno o di costosi processi di elaborazione, ma anche perché tutelate dalla legge. È  il caso dei dati personali, la cui protezione è disciplinata in Italia da oltre 25 anni, e che ha visto evolvere il quadro normativo a livello europeo nel 2016, con la pubblicazione del Regolamento GDPR.

Uno spartiacque normativo 

Il GDPR è uno spartiacque normativo, che colloca la protezione dei dati personali (la cosiddetta “tutela della privacy”) sempre più fra i processi di compliance management cui le organizzazioni sono tenute, a costo di pesanti sanzioni ed anche di danni reputazionali.

In altre parole, la dimensione legale che caratterizzava il D.Lgs. n. 196, con le sue nomine, le comunicazioni, le sanzioni, e solo un vago sentore tecnico rappresentato dall’Allegato B (le “misure minime”), è stata soppiantata da un’impostazione gestionale e sistemica che stabilisce principi, obiettivi, politiche, risorse, processi e controlli, finalizzati a trattare i dati personali in un’ottica che concilia il risk management ed il compliance management.

Ruolo delle imprese

Ecco quindi che le organizzazioni sono tenute ad individuare quali trattamenti sono compresi nel perimetro di responsabilità, con quali strumenti effettuarli (e qui l’infrastruttura IT gioca un ruolo essenziale), quali competenze devono avere le risorse, quali meccanismi di verifica (automatica/umana) devono essere posti in essere. La propensione al rischio è il fattore che modula gli interventi di tipo organizzativo (quanta formazione per le risorse, uso di data center propri e non in cloud) e di tipo operativo (password policy, backup, crittografia, comunicazioni obbligatorie, protezione degli archivi cartacei).

Riferimenti alle norme ISO 

Chi conosce i sistemi di gestione certificabili, che da più di trent’anni (la prima ISO 9001 è del 1987) sono adottati nelle organizzazioni in tutto il mondo, non può non vedere riferimenti chiari alla stessa ISO 9001, ma anche a norme più specifiche come la ISO/IEC 27001 relativa alla sicurezza delle Informazioni. Questa norma internazionale stabilisce i requisiti che deve possedere un sistema di gestione finalizzato a tutelare riservatezza, integrità e disponibilità delle informazioni comprese nel perimetro, e rappresenta un metodo per rispondere alle richieste del GDPR, sia quando i trattamenti sono secondari rispetto al core business aziendale (come ad esempio la gestione del personale in una società di ricerca), ma ancora di più se il core business prevede esso stesso dei trattamenti (strutture ospedaliere, gestori di servizi).

Il percorso di un sistema di gestione

Il percorso di un sistema di gestione ISO/IEC 27001 prevede di definire in primo luogo il contesto in cui opera l’organizzazione, e quali sono gli obblighi verso le parti interessate (tra cui il Garante). Il passaggio successivo è l’analisi dei rischi che incombono sulle informazioni trattate (cancellazione involontaria, disclosure non autorizzata, danneggiamento dei database), in base alle modalità correnti dei trattamenti. Dalla valutazione dei rischi devono discendere decisioni operative in merito al “risk treatment” necessario per mantenere un “risk level” commisurato al “risk appetite” dell’organizzazione. Più semplicemente, si decide quali risorse devono accedere a determinate informazioni (principio di “accountability”), quali infrastrutture IT e quali sistemi hardware/software vanno utilizzati (ricordiamo anche la “privacy by design”), quali meccanismi di controllo vanno attivati. Il sistema di gestione, che a questo punto potrebbe anche ricevere una certificazione di terza parte, mostra i suoi benefici nella iteratività dell’autocontrollo, esercitato attraverso gli audit interni ed il processo di miglioramento continuo.