Le policy

Parliamo, nell’ultima puntata della serie dedicata alla verifica della propria effettiva o presunta conformità al GDPR, delle policy, ovvero di quei regolamenti, condivisi con i collaboratori, finalizzati a regolamentare processi e procedure aziendali.
Nello specifico, le policy che ci interessano sono quelle dedicate alla sicurezza dei dati personali.
Le policy possono contenere alcune raccomandazioni generiche e/o studiate appositamente, sulla base dei dispositivi e delle procedure da utilizzare.
Ad esempio, una policy dedicata all’utilizzo dei dispositivi informatici e degli account, fornirà istruzioni su come gestire le password, gli aggiornamenti, la posta elettronica, etc. Non potrà mancare la procedura corretta da utilizzare in caso di accesso all’account del collaboratore assente per ferie o malattia; le istruzioni riguardo gli eventuali download di software presente in rete e le direttive su cosa è ammesso, cosa è assolutamente vietato e quali autorizzazioni vanno richieste, prima di compiere determinate operazioni.
Un errore comune, quando si parla di sicurezza del dato, è considerare esclusivamente gli aspetti legati all’informatica. Se è vero che la maggior parte dei trattamenti di dati avviene attraverso pc, telefoni e server, non vanno però dimenticati i supporti e i documenti cartacei, gli armadi, le stanze di archivi, gli schedari, etc.
Esistono parecchi casi di giurisprudenza nei quali si riscontrano per fatti molto simili, esiti diversi, proprio a causa della presenza o meno di adeguate policy. Possiamo quindi riconoscere, alle policy, non solo un ruolo di efficientamento e di ottimizzazione del lavoro, ma anche un elemento di tutela e di legittimazione per le regole e le istruzioni che il #titolaredeitrattamenti, doverosamente, deve impartire ai suoi collaboratori.
Le policy, insieme alla formazione e alle procedure, rappresentano parte delle #misureorganizzative che il titolare dei trattamenti, deve mettere in atto, insieme alle misure tecniche, per adempiere alle disposizioni del Gdpr (applicazione di misure idonee) indicate negli articoli 24 e 32 del regolamento europeo (679/2016 detto Gdpr) e nei successivi pronunciamenti del Garante della Protezione dei Dati Personali.

 

Per maggiori informazioni, contatta Kruzer, cliccando qui.

Condividi