iDP | Servizi
Siamo sempre più proiettati verso una società e un modello di business che basa la sua essenza e prosperità sulla conoscenza di dati e informazioni (cd. data-driven), e che sta sostituendo in maniera dirompente (disruptive) i modelli di mercato propri delle società tradizionali.
In più questo scenario ha dei suoi interlocutori privilegiati, che distribuiscono le carte e fanno da biscazzieri. Sono le cd. società del “Big Data”, che hanno nel giro di pochi anni monopolizzato il mercato dei dati, dando vita a quello che viene definito da alcuni autori come il “capitalismo della sorveglianza”.
Sotto queste premesse non mancano le preoccupazioni derivanti dai rischi insiti in questa nuova era tecnologica, siano essi di natura economica, democratica, criminogena, sociale, etica, filosofica, e per certi tratti anche distopica.
Un primo tentativo di porre una barriera o argine per governare il fenomeno è stato posto in essere proprio qui in Europa con l’adozione del GDPR, il cosiddetto Regolamento Generale per la protezione dei dati e la libera circolazione delle informazioni.
Se da un lato, il fulcro delle attenzioni del GDPR è il rispetto per un diritto fondamentale riconosciuto quale diritto della personalità da quasi tutte le costituzioni, dall’altro viene introdotto il principio illuminante dell’accountability, secondo cui il Titolare del trattamento deve assumersi la responsabilità di garantire la conformità del trattamento, adottando un vero e proprio sistema di gestione e governance per la protezione dei dati, atto a comprovarne l’impegno.
Tale modello contempla una serie di adempimenti previsti dal GDPR stesso, che derivano da una previa analisi dei rischi (risk-based), al fine di adottare adeguate contromisure di sicurezza che ne limitino la portata a livelli accettabili.
Tassello fondamentale è segnatamente la consapevolezza e conoscenza della materia che devono possedere i soggetti preposti al trattamento da parte del Titolare, attraverso una adeguata e periodica/aggiornata formazione in materia.
Ma la produzione normativa europea non si esaurisce con il solo GDPR. Enti e istituzioni pubbliche periodicamente pubblicano chiarimenti, linee guida, integrazioni, nuove direttive (es. e-privacy) che arricchiscono (e a volte complicano) il quadro.
Infine, naturalmente non manca il quadro normativo domestico, rappresentato dal redivivo D.Lgs.196/2003, dopo le modifiche apportate dal D.Lgs.101/18, nonché la normativa civilistica e giuslavoristica in materia (es. Lo Statuto dei lavoratori), o correlata (es. Legge Diritto Autore), la L.231/2001 (responsabilità degli Enti).
Se poi rivolgiamo lo sguardo verso i sistemi di certificazione troviamo intere famiglie ISO dedicate alla governance dei sistemi informativi, quali le famiglie delle ISO 27000, nonché quelle dedicate ai singoli aspetti rilevanti nell’ambito protezione dati (es. ISO 22301; ISO/IEC TS 22237).
Tutto ciò premesso, la mia esperienza professionale e consulenziale è a vostra disposizione per tutti i servizi necessari al raggiungimento degli obiettivi summenzionati, e di seguito sommariamente elencati.
- Servizio Generale di Compliance GDPR.
- Formazione:
- generale
- specifica (gestione HR; attività commerciale/marketing, settore sanitario. P.A.).
- Audit (GDPR; ISO 27001; ISO 19011; ISDP 10003; NIST).
- Consulenza per l’implementazione di sistemi ISMS (ISO27001; ISO 22301; ISO/IEC TS 22237.
- Definizione dei requisiti privacy-by-design e privacy-by-default dei processi e applicativi per il trattamento dei dati.
- Effettuazione DPIA/PIA.
- Definizione piani di business-continuity e disaster-recovery.
- Ruolo DPO/RPD - data-protection-officer.
- Definizione processi per la gestione incident response e data breach.
- Consulenza per la compliance degli impianti di Videosorveglianza e/o altri trattamenti che impattano sui lavoratori (Rilevazione GPS parco veicoli, controllo e monitoraggio della posta el. e di internet, o impiego di software gestinali da cui può derivare controllo degli utenti.
- Definizione modelli organizzativi aziendali e processi correlati (es. smart working; BYOD; cloud computing, e-commerce, processi marketing e social media marketing.
- Adozione schemi di certificazione.
- Consulenza per la transizione digitale aziendale, la gestione documentale elettronica, la conservazione digitale a norma e i processi correlati.
- Consulenza per la tutela della proprietà intellettuale (Legge diritto d'Autore, Codice della proprietà industriale; Digital Rights Management DRM).