Cosa facciamoGDPRSicurezza informaticaWe do

CorsoDPO – Normative tecniche internazionali di sicurezza – lezione 1

Inizia con questa lezione il percorso, abbastanza articolato, della descrizione delle normative di sicurezza.
Questo mini ciclo di lezioni è tenuto dal collega Andrea Cenni.

E’ sempre interessante seguire lezioni su un argomento che si conosce, per percerpire il punto di vista di un altro professionista.
Il collega Cenni mi ha stupito per l’efficacia, la profondità e la verve in una lezione che mi ha fornito tantissimi spunti di riflessione e di ulteriore approfondimento.
Qui mi limiterò quindi ad annotare degli appunti sulle cose che ritengo più importanti senza entrare nella descrizione delle normative e in particolare della ISO 27001.

Certificazioni e codici di condotta

L’articolo 42 del GDPR introduce la possibilità di certificarsi o seguire codici di condotta come mezzo per dimostrare la compliance.

Anche Cenni conferma, e lo fa più volte, che la formazione è un elemento essenziale del processo di gestione dei dati personali.
Si, perché di processo si tratta, continuo quindi non un’attività statica, fissata nel tempo.

Un altro concetto che mi trova assolutamente concorde è che gli aspetti tecnici vengono dopo: prima ci sono gli aspetti organizzativi e formativi.

I marchi e sigilli citati nel GDPR non riguardano solo il titolare verso il Garante ma anche delle entità esterne (ad esempio responsabili) verso il titolare del trattaemnto.
Il titolare ha l’obbbligo di controllo dei responsabili: se questi sono certificati vengono aiuto al titolare.
Questa, a mio parere, è una chiave di volta: la scelta dei fornitori dovrà necessariamente passare da chi fornisce garanzie adeguate dimostrando di saper gestire i propri processi.

Un altro concetto ribadito più volte da Cenni è che per il GDPR è fondamentale la qualità del dato.
Questo è verissimo e si sposa molto bene con la definizione di informazione data dalla ISO 27001 relativamente all’information asset: l’informazione che ha valore per l’organizzazione.
E una cosa ha valore se è di qualità.

Altre considerazioni

Il DPO esercita la sua attività interfacciandosi soprattutto con le seguenti funzioni aziendali:

  • legale;
  • qualità;
  • IT.

Le funzioni aziendali che devono essere controllate con più attenzione dal DPO sono:

  • HR;
  • legale;
  • IT;
  • martketing e comunicazione;
  • commerciali.

Un altro aspetto importante è il fatto che l’implementazione del GDPR è essa stessa un processo.
Quindi è utile creare un piano di business che documenti le decisioni sui piani per attuare correttamente tutte le misure e registri anche i progressi nella direzione dell’obiettivo stabilito.

Conclusioni

Come già detto non entro nel dettaglio dei riferimenti normativi e della descrizione della normativa ISO 27001, ma non vedo l’ora di riprendere le lezioni il prossimo fine settimana.