{"id":1289,"date":"2016-02-28T18:36:03","date_gmt":"2016-02-28T17:36:03","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=1289"},"modified":"2016-04-24T17:07:36","modified_gmt":"2016-04-24T15:07:36","slug":"is-a-retrofitting-enough-to-make-current-solutions-compliant","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2016\/02\/28\/is-a-retrofitting-enough-to-make-current-solutions-compliant\/","title":{"rendered":"Basta un retrofitting per adeguare le soluzioni esistenti ?"},"content":{"rendered":"

Spesso siamo tentati di riutilizzare le soluzioni e i processi esistenti per adeguare i nostri sistemi informativi ai nuovi adempimenti normativi. Non che questo non possa essere fatto e anzi che sia auspicabile in molti casi; pur tuttavia nel caso dell\u2019applicazione del nuovo Regolamento sulla Protezione dei Dati Personali le soluzioni pi\u00f9 sbrigative non sembrano opportune e anzi fuorvianti. A maggior ragione perch\u00e9 il Regolamento reca con s\u00e9 una preciso adempimento che aiuta ad indirizzare le valutazioni di adeguatezza e di opportunit\u00e0 delle soluzioni. Questo e\u2019 il caso del PIA (Privacy\u00a0Impact Assessment) che, in pratica, guida la valutazione preliminare degli impatti a cui andrebbe incontro un processo, e dunque un’azienda,\u00a0qualora dovessero essere violate le misure di protezione dei dati. E\u2019 solo attraverso questa fase e alle relative risultanze che si pu\u00f2 dimostrare l\u2019adeguatezza delle soluzioni, sia di quelle esistenti come di quelle pianificate, e calcolare l\u2019esposizione al rischio effettivo o residuo. Ma dunque, in base alle nuove prescrizioni, per chi non lo avesse mai affrontato, il PIA va compiuto subito e su tutto, compresi i processi e le soluzioni esistenti, e mantenuto per sempre ?<\/p>\n

Va detto che il processo PIA prevede una fase di pre-valutazione che permette di valutarne la necessit\u00e0 e gestire la discrezionalit\u00e0 di una maggiore o minore estensione delle successive fasi di valutazione. Pur tuttavia alcune considerazioni si rendono necessarie a livello generale:<\/p>\n

alcune delle attivit\u00e0 alla base del processo PIA devono gi\u00e0 essere state svolte e mantenute bench\u00e9 il requisito del DPS sia decaduto dal febbraio 2012 (tra queste: la mappatura dei dati e dei trattamenti, la pianificazione degli interventi tecnologici e organizzativi di protezione dei dati con una valutazione complessiva di riduzione dello stato di rischio). Poich\u00e9 non sarebbe possibile riesaminare completamente tutti i processi interni che trattano Dati Personali e svolgere PIA contemporaneamente su tutti questi processi,\u00a0sembra opportuno raccomandare di:<\/p>\n

– avviare valutazioni PIA fin dalle fasi iniziali dei nuovi progetti<\/p>\n

– tenere conto dei progetti o dei piani di aggiornamento di prodotti \/ servizi esistenti per associare a questi l\u2019applicazione delle analisi d\u2019impatto<\/p>\n

– tenere sotto osservazione i processi o le fasi che si sa essere pi\u00f9 a rischio<\/p>\n

– estendere la PIA anche a soluzioni esistenti al variare delle soluzioni tecnologiche, all\u2019emergere di vulnerabilit\u00e0 o di segnalazioni su carenze di settore<\/p>\n

– mantenere costantemente nel tempo una verifica di pertinenza e di adeguatezza delle valutazioni eseguite.<\/p>","protected":false},"excerpt":{"rendered":"

Spesso siamo tentati di riutilizzare le soluzioni e i processi esistenti per adeguare i nostri sistemi informativi ai nuovi adempimenti normativi. Non che questo non possa essere fatto e anzi che sia auspicabile in molti casi; pur tuttavia nel caso dell\u2019applicazione del nuovo Regolamento sulla Protezione dei Dati Personali le soluzioni pi\u00f9 sbrigative non sembrano\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[28,25,127,23],"class_list":["post-1289","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","tag-dp-impact-analysis","tag-impact-assessment","tag-pia","tag-risk-assessment"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1289","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1289"}],"version-history":[{"count":3,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1289\/revisions"}],"predecessor-version":[{"id":1566,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1289\/revisions\/1566"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1289"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1289"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1289"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}