CONTAMINAZIONE TRA I SISTEMI DI GESTIONE PRIVACY E SICUREZZA (1)

Privacy e Sicurezza delle Informazioni richiedono la messa in atto di economici, efficienti, efficaci, equi ed etici Sistemi di Gestione i quali, pur essendo affini ma non identici, possono sì contaminarsi a vicenda. Dal che, l’opportunità di adottare un (unico) Sistema di Gestione Integrato. Vediamone i tratti salienti e caratteristici.

 Renato Castroreale e Chiara Ponti
Ufficio Compliance

INDICE:

I sistemi di gestione

 

Ogni Organizzazione impattante sulle Informazioni e/o Dati Personali richiede necessariamente l’adozione di un Sistema di Gestione sia sulla Sicurezza delle Informazioni (cd SGSI) che sulla Protezione dei Dati (cd MOP).

Prima di analizzarli nei punti salienti, riteniamo tuttavia opportuno chiarire la differenza tra Informazioni e Dati Personali, non affatto sinonimi.

Se infatti le Informazioni rappresentano qualunque tipo di dato di qualsiasi natura e genere (digitale o cartaceo) i Dati Personali ne raffigurano (soltanto) un sottoinsieme nella misura in cui le stesse si riferiscano ad una persona fisica (“interessato”) identificata o identificabile secondo quanto disposto dall’art. 4 del Reg. UE 679/2016, meglio noto come GDPR.

Se dunque vale la regola che i dati personali sono anche informazioni, non è vero il contrario: non tutte le informazioni sono anche dati personali.


Sistema di Gestione della Sicurezza delle Informazioni – SGSI

Si tratta di un Sistema costituito da Politiche, Procedure e Registrazioni che si pongono il virtuoso obiettivo di garantire la Sicurezza delle Informazioni all’interno di un’Organizzazione.

Detto Sistema viene generalmente sviluppato al fine di assicurare la conformità a quanto specificato dalla certificabile norma ISO/IEC 27001.

Esso abbraccia tutti gli aspetti organizzativi, operativi e di controllo grazie ad un approccio completo ed efficace; e la valutazione dei rischi costituisce un essenziale elemento del Sistema consentendo di determinare i controlli di sicurezza da (dover) implementare.


Modello Organizzativo Privacy – MOP

Analogamente a quanto ora descritto per la Sicurezza delle Informazioni, per la privacy è concepito un Modello Organizzativo (cd MOP) che si pone come obiettivo quello di tutelare i diritti e le libertà degli interessati, conformemente a quanto previsto dal citato GDPR.

Nel merito, il Sistema di Gestione Privacy (o MOP) appare come un insieme di documenti, politiche e procedure volte a garantire l’ottemperanza/adeguamento al GDPR (come ad esempio il Registro dei Trattamenti, la procedura di esercizio dei diritti degli interessati, la politica di privacy by design e by default, ecc.)

Come per il SGSI così anche il MOP richiede l’effettuazione di una Analisi dei Rischi invero volta a determinare gli impatti (in termini di rischio) circa i trattamenti dei dati personali.

Come conciliare i due sistemi di gestione

 

I due Sistemi sopra delineati hanno, con tutta evidenza, molti tratti in comune quantunque sussistano molte peculiarità legate a specifiche esigenze di norma o regolamento, primo tra tutti il fatto che l’adozione di un SGSI avvenga su base volontaria (ie per scelta dell’Organizzazione), a differenza dell’assunzione di un MOP che è strumento/misura di accountability e quindi di adeguamento alla normativa europea.

Non a caso, le norme volontarie di cui alla Famiglia delle ISO/IEC 27000 sono strettamente correlate alla protezione dei Dati Personali; con la conseguenza che la contaminazione tra le due materie oltre a tutelarne le rispettive differenze, riduce sensibilmente la mole delle attività.

L’integrazione dei sistemi, una scelta vincente

 

Al fine di perseguire in maniera efficace l’obiettivo di integrazione dei sistemi, occorrono competenze eterogenee. Tali competenze, costituite ad esempio dal Responsabile per la Sicurezza delle Informazioni e da un esperto Legale Privacy (avente funzioni di coordinamento e responsabilità per il mantenimento della compliance al GDPR) possono confluire in una funzione organizzativa dedicata come l’Ufficio Compliance.

Tale Sistema Integrato si perfeziona poi attraverso funzioni di controllo quali un internal auditor e, nell’ambito privacy, dal DPO.

La necessità di avere efficaci Strumenti di Gestione per la compliance

La complessità di detti due Sistemi unitamente alla necessità di sviluppare una Valutazione dei Rischi articolata pone la necessità di adottare uno strumento di gestione che faciliti le attività e fornisca una metodologia operativa.

La risposta a questa esigenza è GoPrivacy.

Senza dubbio, l’ambizione di avere un Sistema di Gestione Integrato diventa un ulteriore ed evidente fattore di “spinta” che sfocia in un naturale percorso di Certificazione esattamente come la Sistemi HS ha raggiunto, vivendola come l’incarnazione di un reale valore aziendale e non solo come il mero attestato da incorniciare ed appendere, sic et simpliciter.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.