REGOLAMENTO INFORMATICO AZIENDALE: policy e procedure IT in linea con il GDPR

Nel panorama digitale odierno, la protezione dei dati personali è diventata una priorità per le organizzazioni di tutti i settori.

Il Regolamento generale sulla protezione dei dati (GDPR) ha introdotto requisiti rigorosi, rendendo imperativo per le aziende stabilire policy e procedure di sicurezza informatica che riflettano questo rigore.

Come noto infatti non esiste privacy senza sicurezza, pertanto le policy e le procedure IT costituiscono la spina dorsale della strategia di governance dei dati di qualsiasi organizzazione. Non solo definiscono il modo in cui i dati vengono raccolti, archiviati ed elaborati, ma garantiscono anche che questi processi siano in linea con i requisiti legali.

Ma come redigere un regolamento IT che sia in linea anche con i requisiti del GDPR? Riportiamo, come valido spunto per le aziende, alcune line guida da seguire:

  • Eseguire una ricognizione dei dati personali in possesso: il primo passo è condurre un inventario completo dei dati personali trattati dall’azienda titolare. Ciò include l’identificazione del tipo di dati raccolti, degli scopi per i quali vengono trattati e della base giuridica che ne legittima il trattamento. Questo inventario servirà da base per lo sviluppo di qualsiasi policy.
  • Seguire i principi di privacy by design e privacy by default: sono principi che devono guidare ogni passo verso la progettazione e lo sviluppo dei sistemi IT aziendali e, di riflesso, ogni policy conseguente. Attenzione però, adottare tali principi non significa soltanto implementare processi, soluzioni o strumenti che trattano dati personali in modo sicuro; occorre dimostrare di rispettare anche i principi espressi dalla normativa privacy vigente, a partire da quello di minimizzazione: cioè di trattare solo i dati necessari per le finalità scelte. Un esempio ce lo ha offerto di recente il Garante: l’accesso in sede dei dipendenti – procedure comune ad ogni azienda – se effettuato con un sistema di riconoscimento facciale andrebbe sostituito da soluzioni meno invasive, come il badge, evitando quindi il trattamento di dati biometrici, molto più rischiosi in termini di privacy.
  • Rendere effettivi i diritti dell’interessato: delineare chiaramente le procedure per la gestione delle richieste relative ai diritti dell’interessato, come accesso, rettifica, cancellazione e opposizione. I dipendenti andrebbero correttamente formati su come gestire queste richieste tempestivamente e in conformità con i requisiti del GDPR.
  • Definire una chiara policy data breach: importante è anche stabilire una procedura chiara per rispondere alle violazioni dei dati (data breach), che tenga conto dei requisiti di notifica del GDPR, dei possibili processi di escalation interni e dei vari protocolli di comunicazione, in particolare con il personale competente (amministratore di sistema, CISO e DPO se nominati). Ciò consentirà all’organizzazione di rispondere in modo rapido ed efficace in caso di violazione, riducendo al minimo potenziali danni per gli interessati, evitando in alcuni casi anche la notifica alla Autorità Garante e/o agli interessati.
  • La gestione dei fornitori: se l’organizzazione si avvale di fornitori o sistemi di terze parti per gestire dati personali per suo conto, è essenziale disporre di solidi processi di gestione dei fornitori (c.d. privacy supply chain). Ciò include lo svolgimento di due diligence sulle pratiche di protezione dei dati dei fornitori, garantendo l’inclusione di adeguate clausole contrattuali per non vanificare il perimetro di tutela che è stato progettato internamente.
  • La conservazione dei dati: occorre stabilire linee guida chiare per la conservazione dei dati, tenendo conto dei requisiti contrattuali e normativi. Quello di determinare il tempo massimo di conservazione dei dati sui supporti di archiviazione e data center aziendali, rappresenta un obbligo del Titolare su cui il Garante si è concentrato molto nell’arco dell’ultimo biennio di controlli ispettivi.
  • Monitoraggio e audit regolari: ogni azienda cambia, si evolve e con essa anche i suoi trattamenti di dati. Per questo diventa decisivo stabilire un calendario di audit ricorrenti per mantenere aggiornate le stesse policy.
  • Formazione dei dipendenti: una importante questione centrale, affinchè procedure e policy aziendali vengano attuate correttamente e soprattutto concretamente comprese anche ai fini dell’accountability. Avere in azienda dipendenti adeguatamente formati e consapevoli delle policy interne in materia di sicurezza e protezione dei dati aiuta nel processo di identificazione e mitigazione dei rischi, riducendo la probabilità di violazioni dei dati che, come noto, sono in costante aumento in ogni settore industriale.

Per tutte le informazioni  contatta il Servizio Privacy

Articoli correlati

    Legal
    06 Maggio 2022
    Vietato l’utilizzo dei DARK PATTERN nelle piattaforme web: le nuove linee guida EDPB
    Legal
    30 Aprile 2021
    Attenzione ai sistemi di rilevazione delle presenze basati sui dati biometrici dei dipendenti. Se manca la base normativa si rischia la sanzione
    Legal
    20 Luglio 2021
    Attacchi informatici alle aziende in aumento: informazione e formazione contro gli attacchi dei pirati del web
    Legal
    16 Giugno 2023
    La disciplina del cd. whistleblowing garantisce un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione
    Legal
    09 Novembre 2020
    Google, l’Antitrust apre un’istruttoria per vederci chiaro sull’uso dei dati nelle campagne pubblicitarie
    Legal
    26 Novembre 2021
    Raccolta e conservazione del Green Pass in azienda: le novità del DL n. 127/2021 post conversione