art. 32 del GDPR: procedura obbligatoria di valutazione

In diversi punti il GDPR lascia intendere che il titolare del trattamento deve definire delle procedure per rispondere ai requisiti di protezione dei dati personali. L’unico caso, però, in cui il testo di legge parla esplicitamente di “procedura” è all’articolo sulla sicurezza del trattamento. L’art. 32 del GDPR, al comma 1 lettera d), richiede al titolare di definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative. Di che cosa si tratta?

Che cosa non è la procedura dell’art. 32 del GDPR

La procedura di valutazione dell’efficacia non è né la verifica della conformità normativa né l’attività di controllo prevista dall’art. 39 a carico del DPO. Non ha quindi come obiettivo quello di verificare che il trattamento dei dati avvenga nel rispetto dei requisiti di legge e non è un’attività riservata alle sole realtà che dispongano, per scelta o per obbligo, del DPO.

Questa procedura non ha nemmeno a che vedere con l’aggiornamento del registro dei trattamenti o dell’analisi dei rischi, e non equivale all’esecuzione di verifiche / audit regolari.

La procedura di valutazione dell'efficacia non è né la verifica della conformità normativa né l'attività di controllo prevista dall'art. 39 a carico del DPO.

A che cosa serve la procedura dell’art. 32 del GDPR?

Si tratta di un obbligo che si applica al titolare del trattamento (o al responsabile) e ha come obiettivo quello di testare, verificare e valutare l’efficacia delle misure definite dall’organizzazione. Questo significa che:

  1. la procedura deve essere in grado di dimostrare che le misure tecniche e organizzative consentono di raggiungere l’obiettivo di protezione dei dati personali trattati dall’organizzazione;
  2. il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento;
  3. l’attività di test, verifica e valutazione deve essere effettuata con regolarità. Questa regolarità deve essere definita in funzione dell’esposizione al rischio connesso al trattamento dei dati, con una frequenza crescente al crescere dell’esposizione. Tenendo presente che quest’ultima cresce sia in funzione della tipologia e della quantità di dati trattati, sia in funzione della variabilità del contesto interno o esterno (ex. rapidità con cui è necessario apportare modiche tecnologiche o documentali).
Il titolare ha la possibilità di fare un bilanciamento (valutazione) delle misure rispetto agli interessi e al rischio che deve gestire, per cui la procedura serve per valutare se non siano troppo rigide o dispendiose le misure in atto o se, al contrario, non sia opportuno un loro rafforzamento.

In che cosa consiste questa procedura

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell’art. 32 del GDPR all’attività di monitoraggio mediante indicatori di prestazione. Si tratta quindi di individuare degli aspetti che si ritengono essere capaci di rappresentare lo stato della situazione nel tempo, di avere in ogni istante il polso della situazione.

Gli indicatori sono valori numerici espressi in termini relativi ( percentuali) in modo che si possa valutare un dato evento in funzione della massa complessiva di dati/ eventi che si stanno considerando. Per ciascun indicatore vengono definiti dei valori di riferimento rispetto ai quali risulti possibile stabilire se la situazione procede in modo sostenibile o se si stanno registrando degli scostamenti potenzialmente problematici.

Ecco un esempio.

Per chi ha famigliarità con i sistemi di gestione, può essere utile paragonare la procedura dell'art. 32 del GDPR all'attività di monitoraggio mediante indicatori di prestazione.

Un esempio di indicatore

La sicurezza informatica è un aspetto importante di ogni realtà aziendale. La scelta dei sistemi informatici è il primo passo per la protezione dei dati personali trattati digitalmente. Testarne, verificarne e valutarne l’efficacia significa in questo caso valutare quanti tentativi di hackeraggio il sistema è stato capace di rilevare, affrontare e impedire. Così facendo, oltre a dimostrare che il processo di gestione della privacy è effettivo, si può anche rilevare la causa di un’eventuale problema, distinguere tra problematiche strutturali (ex. in caso di incapacità del sistema di neutralizzare gli attacchi) e problematiche di investimento (ex. in caso di una spesa ingente rispetto al numero di attacchi registrati), aggiustando il tiro delle misure tecniche e organizzative messe in atto.

2 risposte a “art. 32 del GDPR: procedura obbligatoria di valutazione”

  1. Buongiorno,
    mi servirebbe gentilmente una procedura standard per valutare l’efficacia delle misure al fine di adempiere all’art 32 GDPR.

    Grazie

    1. Buongiorno Jessica,
      la ringrazio per la richiesta. Per chiarire la questione le chiedo però cortesemente di contattarmi telefonicamente. Le riporto di seguito il mio recapito per praticità: 3886112601.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *