La gestione dei dati personali come macroprocesso aziendale

MILANO - Nella società contemporanea l’informazione ha assunto un ruolo preminente nella catena del valore, anche se la protezione del “bene” informazione non è sempre facilmente gestibile a causa della sua natura immateriale.

Il tema assume dimensione critica quando le informazioni da proteggere sono riconosciute come un valore non solo perché frutto dell’ingegno o di costosi processi di elaborazione, ma anche perché tutelate dalla legge. È  il caso dei dati personali, la cui protezione è disciplinata in Italia da oltre 25 anni, e che ha visto evolvere il quadro normativo a livello europeo nel 2016, con la pubblicazione del Regolamento GDPR.

Uno spartiacque normativo 

Il GDPR è uno spartiacque normativo, che colloca la protezione dei dati personali (la cosiddetta “tutela della privacy”) sempre più fra i processi di compliance management cui le organizzazioni sono tenute, a costo di pesanti sanzioni ed anche di danni reputazionali.

In altre parole, la dimensione legale che caratterizzava il D.Lgs. n. 196, con le sue nomine, le comunicazioni, le sanzioni, e solo un vago sentore tecnico rappresentato dall’Allegato B (le “misure minime”), è stata soppiantata da un’impostazione gestionale e sistemica che stabilisce principi, obiettivi, politiche, risorse, processi e controlli, finalizzati a trattare i dati personali in un’ottica che concilia il risk management ed il compliance management.

Danilo Diomede - Coordinatore Tecnico degli schemi IT della Divisione Business Assurance di TÜV Italia, approfondisce il tema nell'articolo al link che segue: https://www.secsolution.com/articolo.asp?id=708