Privacy by design con GRC360

8 Giugno 2021 in Governance Risk & Compliance As a Service - GRC360

Il principio di privacy by design pervade l’operatività quotidiana di ogni azienda: dal lancio di un nuovo prodotto, alla creazione di un nuovo business, fino all’introduzione di una nuova tecnologia che possa semplificare e supportare lo svolgimento delle diverse attività aziendali, o semplicemente una ristrutturazione dell’assetto organizzativo societario. 

Tali iniziative, nel caso in cui comportino il trattamento di dati personali, anche tramite sistemi cartacei, devono essere attentamente individuate, censite e valutate dall’organizzazione prima di essere attuate, al fine di garantire la compliance dell’azienda e dei suoi processi proprio al principio di “privacy by design” di cui all’art. 25 del GDPR.  

Il significato di privacy by design 

Ai sensi dell’art. 25 GDPR, ogni titolare ha l’obbligo di garantire che i singoli trattamenti di dati personali siano “progettati” nel rispetto della normativa in materia di protezione dei dati personali e della tutela dei diritti e delle libertà degli interessati.  

Ne discende l’obbligo, per il medesimo titolare, di svolgere una serie di valutazioni preliminari che permettano di adottare misure tecniche e organizzative adeguate, sia al momento della determinazione dei mezzi del trattamento che all’atto del trattamento stesso. 

Dal punto di vista del rapporto costi-benefici, è nell’interesse del Titolare tenere conto di questi aspetti fin dal momento della determinazione dei mezzi del trattamento, in ottica di prevenzione, in quanto potrebbe essere impegnativo e costoso apportare modifiche alle operazioni di trattamento già progettate e/o avviate.  

Come garantire la privacy by design grazie a GRC360 

Al fine di supportare l’organizzazione nello svolgimento delle citate attività di censimento e valutazione delle iniziative che hanno un impatto sui dati personali, P4I, con la collaborazione di KeisData, ha creato GRC360. 

La piattaforma consente all’organizzazione di adottare un approccio concreto e ben strutturato alla privacy by design. Ogni iniziativa intrapresa dall’organizzazione, infatti, viene scrupolosamente censita all’interno della soluzione tramite un processo interamente guidato. 

Nello specifico, GRC360: 

1. permette di inserire l’iniziativa, tenendo traccia di alcune informazioni di contesto quali ad esempio lo scopo, il perimetro, il responsabile, gli attori coinvolti (interni ed esterni), gli applicativi interessati e il piano temporale; 
2. inserita la nuova iniziativa, chiede se essa comporti la modifica di un trattamento esistente, già censito all’interno del registro, oppure vada a costituire un nuovo trattamento di dati personali; 
3. in caso affermativo, richiede una serie di informazioni di dettaglio relative al trattamento (a titolo esemplificativo: quali dati sono raccolti, a chi appartengono i dati, quali applicativi sono utilizzati, se sono coinvolti fornitori terzi nel processo di gestione dei dati); 
4. sulla base delle linee guida elaborate da ENISA, aiuta l’organizzazione a svolgere la valutazione dei rischi che il trattamento comporta per i diritti e le libertà degli interessati; 
5. ove sussistano i presupposti per l’esecuzione della Valutazione d’Impatto del trattamento (o DPIA), guida l’organizzazione anche in tale processo, sulla scorta di quanto indicato dal GDPR, dal Garante Privacy e dalle linee guida elaborate dal gruppo di garanti europei WP29 (ora EDPB); 
6. supporta la definizione e l’adozione di misure tecniche (es. pseudonimizzazione e cifratura dei dati) e organizzative (nomina e formazione dei soggetti autorizzati al trattamento, nomina di un responsabile del trattamento, aggiornamento del registro dei trattamenti) poste a tutela dei dati personali siano adeguate al rischio. 

Ogni modifica apportata nel sistema rimane, poi, in uno stato “simulato”, fino al momento in cui sarà effettivamente adottata dall’impresa. 

Grazie alla sua struttura guidata e altamente personalizzabile, GRC360 diviene così uno strumento essenziale per l’organizzazione, riducendo i tempi e le risorse necessarie per garantire il rispetto dei principi del GDPR sin “dalla progettazione”.