January 17,2023

Cyber Security 360

By Adelmio Genovese

Compliance GDPR: cosa vuol dire essere compliant con il GDPR?

di Redazione

Tempo di lettura stimato: 5'

Compliance ed essere compliant sono espressioni tipiche di chi lavora nell’ambito del Regolamento europeo per la protezione dei dati. Avvocati, consulenti, esperti di GDPR usano spesso questo termine, ma quanti professionisti ed imprenditori sanno veramente cosa significa? In questo articolo vediamo cosa vuol dire compliance e soprattutto cosa significa essere compliant al Regolamento per la protezione dei dati.

Il significato di compliance

collabora attivamente seguendo le sue indicazioni. C’è compliance quando l’azienda, l’ente o il professionista aderisce e rispetta delle regole, delle leggi o il codice deontologico. Come accountability , anche compliance è una parola anglosassone. Deriva da to comply cioè accondiscendere. A sua volta to comply deriva dal latino complere, che significa compiere (fonte Treccani.it). C’è compliance quando il paziente segue le prescrizioni del medico curante e quindiseguendo le sue indicazioni. C’è compliance quando l’azienda, l’ente o il professionista

Adesione, conformità, rispetto delle regole.

Sono tutti sinonimi che possono chiarire il significato di questa espressione così usata in ambito GDPR.

La conformità in azienda: cosa vuol dire essere compliant

In azienda la compliance o conformità si esprime in molti modi: In azienda la compliance o conformità si esprime in molti modi:

Conformità alla legge - L’azienda è compliant quando rispetta le norme per la tutela dei lavoratori e la sicurezza sul lavoro, paga le tasse, non usa personale in nero, versa i contributi. Cioè agisce nel rispetto della legge.

Conformità ad uno standard – Tipico delle aziende produttive, anche il rispetto di determinate qualità e caratteristiche di un prodotto è un esempio di compliance.

Conformità a delle best practice o ai codici deontologici – È compliant l’azienda che rispetta le buone pratiche, i codici deontologici e tutte le regole di soft law, cioè le norme che non sono emanate dal Parlamento e dagli organi dotati di potere legislativo, ma che indicano le regole di comportamento di una certa categoria o di un settore.

Dice Treccani:

Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).

Quindi la compliance è legata alle regole e ai sistemi di controllo interni all’azienda, cioè alle procedure che adotta per garantire il rispetto delle leggi e delle regole interne ad essa: da come si comportano i dipendenti, i quadri e gli amministratori, fino alla scelta dei consulenti, dei fornitori e di tutti i soggetti che a vario titolo lavorano con l’azienda.

Cosa vuol dire essere compliant al GDPR

Essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati, rispettarne i princìpi e adottare procedure organizzative e di sicurezza perché il rischio sui dati trattati sia basso, verificando che anche tutta la catena dei responsabili sia compliant, dai titolari ai responsabili esterni.

Per essere conformi, bisogna agire con accountability

E per agire con accountability bisogna essere 3 cose: consapevoli, competenti e responsabili.

1 - Consapevoli

Il titolare del trattamento ed il responsabile esterno devono essere consapevoli di quello che stanno facendo e sapere:

quali dati trattano

dove si trovano i dati raccolti

di chi sono

come vengono utilizzati

perché vengono utilizzati

Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati , che siano un aiuto concreto verso la compliance al GDPR.

2 - Competenti

I dati vanno trattati solo se il rischio residuale è basso. Quindi prima di trattare un dato, è importante valutare i rischi che corre. Essere competenti significa che va fatta un’analisi dei rischi e quindi che si adottano le contromisure necessarie per proteggere i dati.

Ma quali sono i rischi che corrono i dati personali? Sono solo 6:

1 - Distruzione. Per esempio, qualcuno cancella per sbaglio o volontariamente l’unico file che contiene certi dati personali - come l’Excel con le mail di tutti i clienti - e non è più possibile recuperarli

2 – Indisponibilità. Per esempio, i dati ci sono, ma non sono più disponibili. È il caso del Cryptolocker che blocca tutti i documenti e non consente più l’accesso ai dati.

3 – Perdita. Per esempio, quando qualcuno ruba il computer che conteneva i dati personali.

4 – Alterazione. Per esempio, qualcuno modifica per sbaglio dei dati personali.

5 – Divulgazione. Per esempio, qualcuno diffonde dati personali su Facebook o via mail.

6 – Accesso. Per esempio, qualcuno vede dei dati che non doveva vedere perché accede ad un file che avrebbe dovuto essere protetto.

Ma questo non basta. Bisogna anche dimostrare – con i fatti e con la documentazione, non a parole - di aver adottato tutte le contromisure necessarie per far sì che il rischio residuale sui dati sia basso. Contromisure che non sono solo informatiche, ma anche organizzative.

Quali scegliere? Nulla è obbligatorio, sta al titolare decidere che tipo di contromisure adottare. La formazione di addetti, responsabili esterni e del titolare stesso, per esempio, fa parte delle azioni da mettere in campo per mantenere basso il rischio sui dati trattati.

3 – Responsabili

obbliga il titolare del trattamento a verificare che anche i responsabili esterni – cioè coloro che trattano alcuni dati personali per conto del titolare; per esempio lo studio paghe, la software house, l’avvocato e così via - siano conformi al Regolamento e se non lo sono può revocare l’incarico. Quindi, per essere conforme al GDPR, il titolare deve Adottare tutti gli accorgimenti interni non basta. Il GDPR– cioè coloro che trattano alcuni dati personali per conto del titolare; per esempio lo studio paghe, la software house, l’avvocato e così via -e se non lo sono può revocare l’incarico. Quindi, per essere conforme al GDPR, il titolare deve controllare i suoi responsabili esterni , sapere se si comportino in maniera adeguata, abbiano adeguate contromisure e trattino i dati in modo che il rischio residuale sia basso. Deve anche sapere se i responsabili esterni affidano parte dei trattamenti ad altri.

È una catena che deve essere chiara fin dall’inizio e che va certificata.

Ricapitolando

Compliance significa conformità. Essere compliant quindi significa essere conformi.

In ambito GPDR, essere compliant significa rispettare princìpi e regole previsti dal Regolamento europeo con un atteggiamento proattivo, non passivo di fronte alla legge, e quindi agire sempre e prima di tutto con accountability

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Notizie e casi studio sulla sicurezza informatica in azienda

I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.

I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.

COOKIE DI PROFILAZIONE E SOCIAL PLUGIN

I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.

Cyber Security 360

I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.

I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.

COOKIE DI PROFILAZIONE E SOCIAL PLUGIN

I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.

Posted in Notizie Sulla Sicurezza Informatica

Leave a Reply

Your email address will not be published. Required fields are marked *