Spesso siamo tentati di riutilizzare le soluzioni e i processi esistenti per adeguare i nostri sistemi informativi ai nuovi adempimenti normativi. Non che questo non possa essere fatto e anzi che sia auspicabile in molti casi; pur tuttavia nel caso dell’applicazione del nuovo Regolamento sulla Protezione dei Dati Personali le soluzioni più sbrigative non sembrano opportune e anzi fuorvianti. A maggior ragione perché il Regolamento reca con sé una preciso adempimento che aiuta ad indirizzare le valutazioni di adeguatezza e di opportunità delle soluzioni. Questo e’ il caso del PIA (Privacy Impact Assessment) che, in pratica, guida la valutazione preliminare degli impatti a cui andrebbe incontro un processo, e dunque un’azienda, qualora dovessero essere violate le misure di protezione dei dati. E’ solo attraverso questa fase e alle relative risultanze che si può dimostrare l’adeguatezza delle soluzioni, sia di quelle esistenti come di quelle pianificate, e calcolare l’esposizione al rischio effettivo o residuo. Ma dunque, in base alle nuove prescrizioni, per chi non lo avesse mai affrontato, il PIA va compiuto subito e su tutto, compresi i processi e le soluzioni esistenti, e mantenuto per sempre ?
Va detto che il processo PIA prevede una fase di pre-valutazione che permette di valutarne la necessità e gestire la discrezionalità di una maggiore o minore estensione delle successive fasi di valutazione. Pur tuttavia alcune considerazioni si rendono necessarie a livello generale:
alcune delle attività alla base del processo PIA devono già essere state svolte e mantenute benché il requisito del DPS sia decaduto dal febbraio 2012 (tra queste: la mappatura dei dati e dei trattamenti, la pianificazione degli interventi tecnologici e organizzativi di protezione dei dati con una valutazione complessiva di riduzione dello stato di rischio). Poiché non sarebbe possibile riesaminare completamente tutti i processi interni che trattano Dati Personali e svolgere PIA contemporaneamente su tutti questi processi, sembra opportuno raccomandare di:
– avviare valutazioni PIA fin dalle fasi iniziali dei nuovi progetti
– tenere conto dei progetti o dei piani di aggiornamento di prodotti / servizi esistenti per associare a questi l’applicazione delle analisi d’impatto
– tenere sotto osservazione i processi o le fasi che si sa essere più a rischio
– estendere la PIA anche a soluzioni esistenti al variare delle soluzioni tecnologiche, all’emergere di vulnerabilità o di segnalazioni su carenze di settore
– mantenere costantemente nel tempo una verifica di pertinenza e di adeguatezza delle valutazioni eseguite.