Mantenere la conformità al GDPR nel tempo
Gli aggiornamenti.
Poniamo che un’azienda abbia seguito pedissequamente tutte le indicazioni del consulente e abbia quindi redatto e distribuito la documentazione prevista; predisposto tutte le misure di sicurezza e formato gli autorizzati al trattamento.
Perfetto.
E l’anno dopo? Due anni dopo? Tre anni dopo?
Un’impresa statica è un’impresa che non lavora o che si sta predisponendo alla chiusura. Non è infatti pensabile che, da un anno con l’altro, non ci sia l’implementazione di un nuovo processo; l’assunzione di un nuovo collaboratore; la sostituzione di un dispositivo di trattamento e così via.
Ma non solo: la normativa stessa subisce alcuni mutamenti, pensiamo, ad esempio, alle nuove linee guida sui cookie; la messa al bando di Google Analytics; all’entrata in vigore della prossima nuova regolamentazione delle comunicazioni elettroniche e dell’intelligenza artificiale (la nuova e-privacy) e alla presa di efficacia del «decreto trasparenza» dello scorso mese.
Le nuove vicende di questi anni, non ultima quella del Covid-19, hanno fatto focalizzare l’attenzione di imprese e professionisti su aspetti relativi alla privacy legati alla salute pubblica e alle scelte individuali sulla scelta vaccinale.
La sicurezza informatica.
In tema di aggiornamenti, non si poteva tralasciare quello relativo alla cybersecurity. Anche questa attività richiede uno start iniziale, quindi una corretta progettazione della rete e dei dispositivi di protezione e storage completata da un test di vulnerabilità dei sistemi con relativa successiva mitigazione dei rischi, e da un processo di continuo monitoraggio dei devices, assicurato magari dalla presenza di un collegamento con una centrale SOC (security operation center).
Oggi, il collegamento con una centrale SOC rappresenta una soluzione efficace per un reale contrasto alle minacce di attacchi di ransomware e di esfiltrazione di dati. Non stiamo parlando di soluzioni riservate alle grandi aziende, ma di opportunità dedicate anche a chi ha solo due o tre pc in ufficio.
La formazione.
Anche se la normativa non prevede uno schema di corsi definito, come nel caso dei corsi per la sicurezza del lavoro, gli artt. 29 e 32 impongono al titolare del trattamento di formare adeguatamente chiunque tratti dati personali all’interno della propria organizzazione.
In caso di turnover di personale, il rinnovo della formazione in tema di Gdpr, applicato alle rispettive mansioni, è d’obbligo, ma riteniamo che periodici aggiornamenti e «refresh» dei concetti precedentemente acquisiti, sia fortemente consigliato anche ai collaboratori precedentemente istruiti.
Il nostro percorso di crescita e di miglioramento ha la finalità di fornire ai clienti un servizio di qualità e una sempre maggiore soddisfazione.
Kruzer si occupa esclusivamente di GDPR, fornendo consulenza, formazione e assistenza in materia di privacy e di sicurezza informatica.
Inoltre, uno staff di legali esperti è in grado di supportare le imprese che necessitano di consulenze specifiche in materia di contrattualistica, operazioni straordinarie e policy.