Consulenza GDPR: perché è essenziale e quali vantaggi porta
Il GDPR richiede molta attenzione e competenza per rendere conformi alla disciplina attuale i trattamenti di dati personali effettuati dalle aziende, ma molte PMI e pubbliche amministrazioni italiane non lo hanno ancora debitamente integrato nell’operatività aziendale nonostante il Regolamento europeo sia operativo dal 2018.
Non avendo mai fatto attività di risk assessment, sottovalutano le conseguenze legate alla non-conformità alla normativa e si espongono a sanzioni severe.
Cosa si rischia
Recentemente infatti, il Coordinated Enforcement Framework (CEF 2023) ha avviato controlli più rigidi, focalizzandosi sulla figura del DPO, essenziale per garantire la conformità normativa, e laddove si ravvisi una “possibile violazione” potrà essere emesso un avvertimento; quando invece una violazione risulta acclarata, si rischia “un ammonimento, un divieto temporaneo o definitivo di trattamento e una sanzione pecuniaria fino a 20 milioni di euro, pari al 4% del fatturato totale annuo mondiale dell’azienda”.
Le sanzioni per la non-conformità al GDPR sono severe e in costante aumento. Tra aprile 2019 e marzo 2023, in Italia sono state comminate 246 multe, rendendo il paese il secondo per numero di sanzioni in Europa. Solo nel 2024, l’Italia ha raggiunto i 79 milioni di euro in multe, con un incremento significativo dovuto a sanzioni elevate come quella imposta a Enel Energia.
Non solo cybersecurity: l'importanza del Risk Assessment
In generale, la valutazione del rischio o risk assessment è un processo che mira all’individuazione e alla caratterizzazione del pericolo che incombe sui trattamenti effettuati, alla valutazione dell’esposizione al pericolo e, infine, alla caratterizzazione del rischio.
L’attività di risk assessment è altamente consigliata anche per poter implementare modelli organizzativi all’insegna dell’innovazione e della competitività.
L’utilizzo crescente di attitvità marketing, profilazione dei clienti, Intelligenza artificiale, robot, Big Data, analytics, eccetera, porta a trattare masse di dati sempre più consistenti, che solitamente coinvolgono anche informazioni di tipo personale, il cui trattamento intrinsecamente comporta dei rischi.
Devono quindi essere analizzate e mappate, in ottica di “Risk based approach”, tutte le criticità che il trattamento di dati; in particolare, i dati personali trattati devono essere adeguatamente protetti durante tutto il loro ciclo di vita da eventuali violazioni (data breach) tramite una approfondita analisi del rischio e predisposizione di procedure di mitigazione e risposta ai potenziali eventi critici.
Il rischio informatico non è l’unico motivo per scegliere di avviare un risk assessment: un’azienda di sorveglianza sanitaria, una realtà impegnata nel settore del crowdfunding o una azienda che opera nel marketing hanno particolari responsabilità in tema di trattamento dei dati personali. In questi casi, l’adeguamento alla normativa non dovrebbe affidarsi solo alla predisposizione delle informative privacy, ma richiede un percorso di adeguamento più complesso di cui il risk assessment è un tassello fondamentale.
Per le aziende produttive può fare la differenza, dopo aver compiuto il proprio percorso di compliance a un corretto trattamento dei dati personali, verificare che vengano impiegati solo fornitori che possano garantire un adeguato grado di sicurezza nel trattamento dei dati personali che gli vengono affidati. Poter dimostrare in qualsiasi momento di essere compliant alla normativa può garantire maggior competitività e permettere di approcciarsi con le grosse aziende dove il tema della sicurezza dei dati è richiesto, verificato e monitorato costantemente.
La presenza di modelli virtuosi di comportamento all’interno dell’impresa stessa e verso i propri utenti, difatti, rende visibili l’efficienza dei processi, la gestione dei sistemi e delle forniture; inoltre, l’attività di analisi per implementare una corretta gestione dei dati porta alla luce criticità e inefficienze operativa, aiutando l’azienda a eliminarle.
Le implicazioni relative alla compliance e all’integrazione nativa e predefinita (by design e by default) di controlli di compliance al GDPR richiedono un mix di competenze legali e tecniche difficilmente presenti in un’azienda medio-piccola.
La consulenza specializzata di Dilaxia
In generale, la valutazione del rischio o risk assessment è un’attività da ripetere costantemente nel tempo, perché gli scenari in cui l’azienda opera sono in continua evoluzione oppure la normativa subisce aggiornamenti. Inoltre, rispetto all’era ante-GDPR, la consulenza privacy va tarata sulle esigenze e sulle specificità di ogni azienda cliente, in virtù del principio di accountability (responsabilizzazione) del Titolare.
Nella pratica, il team Privacy/DPO di consulenza creato in Dilaxia che si occupa anche di risk assessment ha consolidato una metodologia efficace di supporto alle aziende in questo ambito:
- interviste a tappeto (un referente per ogni reparto);
- ricognizione e analisi dei trattamenti di dati personali effettuati dall’azienda;
- redazione del documento di relazione, che evidenzia i gap;
- indicazione dei correttivi e delle necessità dell’azienda, per creare una strategia puntuale che miri al raggiungimento dello stato di conformità;
- assistenza nella creazione di un repository di documenti che permettano all’azienda di dimostrare la propria accountability in merito alla protezione dei trattamenti di dati personali;
- supporto nella gestione e corretta memorizzazione dei dati in accordo alla strategia di gestione del rischio concordata assieme al management dell’organizzazione.
Soprattutto, Dilaxia segue i propri clienti nel tempo, attraverso contratti di mantenimento che garantiscano al cliente la continuità della sorveglianza e mantenimento alla compliance GDPR.
al Risk Assessment
Gestiamo le esigenze di cybersecurity della tua azienda applicando le tecnologie più efficaci e meno invasive in circolazione, e garantendo le condizioni per lavorare in tutta sicurezza ma con la massima efficienza.
