L’adeguamento al Regolamento GDPR rappresenta ancora oggi un obiettivo particolarmente sfidante per molte organizzazioni. I percorsi di compliance non sono, infatti, per nulla immediati e obbligano alla messa a punto di articolati piani d’azione da strutturare su più livelli: oltre a dover prevedere i necessari aspetti tecnologici volti alla salvaguardia dei dati e al loro veloce ripristino in caso di violazione, la pianificazione è tenuta a elaborare anche attente procedure di controllo per valutare periodicamente l’efficacia delle misure implementate. Una richiesta di assessment continuo che evidenzia quanto la compliance GDPR, una volta raggiunta, non duri per sempre, ma debba essere costantemente monitorata e ottimizzata per riuscire a fronteggiare in modo stabile minacce e vulnerabilità in perenne evoluzione. Uno scenario complesso che può essere, comunque, semplificato attraverso l’elaborazione di percorsi di adeguamento strutturati su alcuni capisaldi fondamentali: una mappatura accurata dei dati trattati e dei sistemi in uso; un’attenta valutazione delle priorità tecnologiche in ottica di compliance; una meticolosa configurazione della nuova architettura da coniugare a specifiche misure di verifica continua.
Per garantire il pieno rispetto delle disposizioni GDPR, il primo passo da compiere non può che essere la scrupolosa mappatura di tutto il patrimonio informativo che il Regolamento punta a proteggere: i dati personali. Solo conoscendone esattamente l’entità, le caratteristiche e il livello di accuratezza sarà, infatti, possibile tutelare questo asset, evitando di incorrere in pericolose inosservanze normative. Anche per questo, sebbene l’obbligatorietà della redazione del Registro delle attività di trattamento sia subordinata ad alcune condizioni (ad esempio, imprese con oltre 250 dipendenti o che gestiscono categorie particolari di dati personali), il Garante per la privacy raccomanda a tutte le organizzazioni, a prescindere dalle loro dimensioni, di lavorare alla realizzazione di questo importante strumento, ritenuto “parte integrante di un sistema di corretta gestione dei dati personali”. Accanto all’inventory dei dati occorrerà, poi, procedere a un attento censimento dei sistemi IT aziendali, mappando tutto l’hardware e il software in uso: un’attività fondamentale per evidenziare vulnerabilità e obsolescenze che possono pregiudicare la protezione dei dati stessi.
Il secondo passo da compiere nel percorso di adeguamento al Regolamento GDPR è costituito dall’individuazione delle specifiche priorità tecnologiche aziendali. Solo così sarà possibile procedere alla pianificazione di tutte le azioni indispensabili per centrare gli obiettivi di compliance. Nel suo testo il Regolamento fa riferimento a due principi fondamentali per la definizione delle più adeguate strategie di protezione dei dati personali oggetto di trattamento: ragionevolezza e proporzionalità, entrambi definiti in base alle tecnologie disponibili e al tipo di rischio a cui sono sottoposti i dati di ogni specifica azienda. Ciascuna organizzazione è, quindi, chiamata a valutare la propria realtà, definendo un preciso piano d’azione. Questo si traduce nell’elaborazione di una nuova architettura, capace di assicurare il pieno rispetto delle disposizioni GDPR e armonizzare, contestualmente, tutti i sistemi già in uso. Un esempio su tutti è l’applicazione del principio di Privacy by design, relativamente semplice quando il criterio viene introdotto in nuovi servizi e prodotti, più complesso quando si deve applicare a soluzioni preesistenti.
La configurazione di una architettura di sicurezza rappresenta il punto di arrivo dell’intero percorso d’adeguamento al Regolamento GDPR e riguarda l’effettiva protezione dei dati attraverso l’implementazione di strumenti crittografici, di controllo degli accessi, di backup e di Disaster Recovery. Un punto di arrivo che non può essere considerato, però, conclusivo. Ad affermarlo è lo stesso Regolamento europeo, che pur suggerendo queste specifiche misure tecnologiche, riconosce anche la necessità di una loro verifica periodica per valutarne l’efficacia nel tempo. Lo rende indispensabile l’evoluzione continua delle minacce, capaci di moltiplicare i rischi associati agli ambienti digitali in cui i dati transitano sistematicamente. Il continuous assessment diventa, dunque, uno strumento indispensabile per garantire una compliance normativa che al di là dell’obbligo puramente burocratico, rappresenta per le aziende un’occasione fondamentale per tutelare il proprio patrimonio più importante e salvaguardare, in ultima analisi, il proprio business.