L’UNI, l’Ente Italiano di Normazione, ha pubblicato, pochi giorni fa, un documento‑guida utile ad avviare un percorso di certificazione del processo di conformità al GDPR. Il documento è identificato con il codice UNI/PdR 43:2018 (PdR sta per Prassi di Riferimento) e si articola in due sezioni:
-
la sezione 1 che fornisce le linee guida per la definizione e l’attuazione dei processi afferenti al trattamento di dati personali tramite strumentazione elettronica;
-
la sezione 2 che fornisce la possibilità di valutare (o autovalutare) il livello di conformità raggiunto dal titolare che applica i contenuti del documento.
È interessante l’approccio che la sezione 1 riserva alla gestione dei rischi. Gli step, per titolari e responsabili, diventano 5:
-
stabilire il contesto che significa guardarsi intorno e stabilire stakeholder e soggetti coinvolti nei processi;
-
identificare i rischi che significa elencare i rischi anche in maniera formale implementando un Registro dei rischi;
-
analizzare i rischi cioè capire se esistono rischi elevati per i diritti e le libertà degli interessati;
-
valutare i rischi che vuol dire applicare metodologie strutturate per dare ad ogni rischio un valore quantitativo o qualitativo ordinale (in pratica eseguire una DPIA);
-
trattare i rischi cioè tentare di mitigarli e, comunque, adeguare continuamente i meccanismi di riduzione dei rischi.
Focus sui rischi, senza averne mai abbastanza.