La corsa delle aziende ad adeguare i propri processi per la
gestione dei dati personali alle indicazioni del
GDPR è iniziata, o quantomeno dovrebbe esserlo. Ma all'entrata in vigore della normativa manca ormai poco ed è assai difficile che tutte le imprese possano completare questa loro evoluzione per tempo. Anche perché - questione non da poco - non devono solo capire la normativa e
soprattutto il suo spirito:
devono anche trovare gli strumenti che servono per mettersi in regola.
In una nazione fatta in grande prevalenza da imprese di medie e piccole dimensioni il mezzo migliore per diffondere sia le tecnologie sia le competenze dettate dal GDPR è
passare attraverso un canale presente capillarmente sul territorio. Partendo però da un capofila che punti nettamente sui servizi e sulle soluzioni a valore aggiunto, in chiave progettuale.
BB Tech Group risponde a questa descrizione e sarà la sua rete di rivenditori a veicolare, grazie a un accordo specifico, le soluzioni di risk management sviluppate da
Risk Solver.
L'offerta di Risk Solver viene considerata - ha spiegato
Giampaolo Bombo, CEO di BB Tech Group -
complementare a quella preesistente di BB Tech e mette in condizione gli operatori di canale di proporre soluzioni, servizi e competenze che i loro clienti presto richiederanno, se non l'hanno già fatto.
L'approccio di Risk Solver è peraltro
trasversale ai processi dell'azienda che decide di seguirlo, elemento pienamente in linea con lo spirito del GDPR. Questo rappresenta un
netto distacco dal modello quasi "prescrittivo" di altre norme precedenti, in particolare il Codice Privacy, che impongono una sorta di lista della spesa di adempimenti che le aziende subiscono con poca consapevolezza.
Lo spirito del GDPR è invece
responsabilizzare ciascun soggetto che tratta e gestisce dati personali, mantenendo la normativa abbastanza elastica da adattarsi a qualsiasi situazione concreta. "
Non è il legislatore a dire cosa fare - ha sottolineato l’avvocato
Giovanna Ianni dello Studio Lexalia di Milano -
ma il gestore a dover 'conoscere sé stesso' per poi mettere in atto tutte le misure che risultano necessarie per evitare che i dati personali vadano perduti, anche involontariamente, e siano gestiti correttamente".
Così Risk Solver delinea un vero e proprio percorso che parte da
una fase di pre-assessment necessaria a formalizzare
come sono trattati i dati personali in azienda e quindi a definire i livelli di rischio correlati al trattamento. Il pre-assessment comprende una
analisi tecnologica per la valutazione dei rischio informatico e anche una valutazione del rischio reputazionale. In questa fase una piattaforma di risk management porta a un
risk scoring che rappresenta il punto di riferimento iniziale in rapporto agli obiettivi da raggiungere. Così si identificano le aree più critiche su cui intervenire per ridurre il rischio.
Nella fase successiva entrano in gioco diversi
strumenti informatici per il monitoraggio e il controllo di quanto sta avvenendo nella propria infrastruttura IT. Controllando il traffico dati via web e sulla rete interna e impiegando elementi di analisi comportamentale diventa possibile rilevare attività improprie nella gestione dei dati. Rispetto alla norma questi strumenti
concretizzano i principi della privacy by design e della privacy by default, garantendo che la gestione delle informazioni sia a priori corretta e si mantenga tale. Nella pratica gli strumenti software svolgono una
vasta gamma di funzioni che comprende ad esempio la limitazione dell'accesso a servizi cloud, il controllo remoto dei dispositivi, la gestione di patch e aggiornamenti, la verifica della presenza o meno di certi tipi di dati sui singoli dispositivi, il backup.
Parallelamente Risk Solver offre una piattaforma cloud per semplificare e automatizzare parzialmente la
gestione degli adempimenti più formali del GDPR, come l'emissione delle informative, la richiesta dei consensi o le nomine interne delle figure previste dalla normativa. Questa piattaforma è in particolare molto utile in caso di
data breach: oltre a semplificare la compilazione dei documenti di notifica, avendo tenuto traccia di tutta la documentazione creata nel processo di adeguamento agli adempimenti
può evidenziare tutto quello che è stato fatto e mitigare così le responsabilità collegate al data breach.
Accanto alle soluzioni tecnologiche vere e proprie, Risk Solver propone servizi di
formazione a vario livello per dipendenti, responsabili, titolari e a breve anche
Data Protection Officer. A disposizione degli utenti ci sono poi processi di certificazione e servizi per la definizione di eventuali
polizze assicurative a copertura del rischio residuo che non è stato possibile annullare puntando solo sulla tecnologia.