l'analisi

GDPR, cambio di passo: da data protection a data governance

Nell’insieme di nuove disposizioni del GDPR spesso sfugge il cambio di passo che si è voluto tracciare. Comprendere lo spirito del legislatore è utile per estrarre criteri interpretativi, scopi e prescrizioni. Centrale la data governance basata su due principi chiave: l’approccio al rischio e l’accountability del titolare

Pubblicato il 14 Dic 2017

Pierluigi Perri

Università degli Studi di Milano

bigdata_641081077

Nell’insieme degli adempimenti nuovi o rinnovati che il legislatore europeo ha incluso nel Regolamento generale sulla protezione dei dati, applicabile a tutti i titolari di trattamenti di dati personali a far data dal 25 maggio 2018, spesso sfugge il cambio di passo che si è voluto tracciare con questa normativa. Tuttavia, comprendere lo spirito del legislatore europeo e della generale revisione della data protection che è avvenuta negli ultimi anni in seno all’Ue, può risultare utile per estrarre alcuni criteri interpretativi che, in fase di applicazione della legge, consentano di preservarne gli scopi e di adempiere alle prescrizioni in esso contenute in maniera efficiente e conforme.

Ebbene, tra le principali innovazioni contenute nel Regolamento UE 679/2016 merita sicuramente di essere menzionata la centralità attribuita al concetto di “governo del datoo data governance.

Con questa espressione riferita al trattamento dei dati personali bisogna intendere l’obbligo, in capo al titolare, di delineare bene compiti e responsabilità all’interno della propria struttura in modo che sia chiaro chi può prendere decisioni, chi deve conformarsi a queste decisioni, quale sia il processo che governa le suddette decisioni dalla fase della progettazione alla fase dell’implementazione e successiva verifica e quali siano, infine, le responsabilità sia in capo a colui che decide sia in capo a colui che deve eseguire le decisioni in caso di non conformità delle stesse.

Il governo del dato quindi si sposa perfettamente con due principi fondamentali che vengono sempre indicati dai commentatori come una delle chiavi di lettura del nuovo Regolamento generale sulla protezione dei dati: l’approccio basato sul rischio e l’accountability del titolare.

L’approccio basato sul rischio, che dovrà ispirare tutte le scelte in relazione al trattamento dei dati personali progettate e implementate dal titolare, trae ispirazione – tra le altre – da una interessante Raccomandazione del 2015 a cura dell’OECD sulla gestione del rischio digitale. Tale Raccomandazione, infatti, recupera e aggiorna le Linee guida del 2002 sulla sicurezza delle reti e dei sistemi informatici redatte sempre dall’OECD, dando una fortissima centralità alla governance del rischio tramite una gestione dinamica dello stesso, che viene suggerita come migliore strada da percorrere per contrastare la crescita dei fenomeni connessi a un’improvvida gestione dei dati e che si possono riassumere nel generale concetto di “data breach” o “violazione dei dati personali”, volendo utilizzare la tassonomia propria del Regolamento.

Tale governance del rischio, secondo l’OECD, dovrà necessariamente passare attraverso un’analisi del rischio che possa aiutare a comprendere l’effettiva idoneità delle misure già adottate nella propria realtà e, in caso tali misure risultino insufficienti, quali siano le misure da implementare per raggiungere un livello sufficiente di contrasto ai rischi ipotizzabili. La gestione del rischio, tuttavia, dovrà sempre essere basata su una ciclicità idonea a testare in maniera continuativa il livello di rischio presente e a prendere le opportune contromisure qualora tale livello si riduca o si innalzi in ragione di alcuni fattori. Infine, dal momento che il rischio per definizione non è mai eliminabile, una governance del suddetto richiederà sempre la predisposizione di un piano di continuità che identifichi le misure volte a prevenire, individuare, reagire e ripristinare i dati e i sistemi sui quali si concentrerà l’analisi.

Tali attività di governance del rischio, che rientrano in un approccio olistico alla gestione delle possibili problematiche di sicurezza, richiederanno la partecipazione di tutti gli attori del processo, non consentendo più una delega totale a determinati soggetti perché studino e implementino le misure di contenimento del rischio stesso, ma richiedendo il coinvolgimento anche di tutte le altre figure, soprattutto apicali, affinché l’approccio al rischio e la gestione dello stesso diventino patrimonio condiviso da tutti.

Un ulteriore campo di applicazione dei principi di data governance è sicuramente da individuarsi in relazione al principio dell’accountability del titolare, che viene da più parti giustamente indicato come un’altra delle chiavi di lettura innovative e fondamentali del Regolamento.

Con tale principio si viene a costituire un vero e proprio meccanismo di responsabilità in capo ai titolari, i quali dovranno intervenire nella definizione dei processi e nell’attuazione delle misure o procedure da adottare e, in più, dovranno anche poter dimostrare il fondamento delle scelte effettuate e la loro implementazione.

Si può quindi ritenere che il primo obiettivo dell’accountability sia la formalizzazione di scelte che sono demandate al titolare affinché questi possa implementare delle procedure di governance ritagliate sulla propria realtà concreta. Questa lettura del principio, tuttavia, ha anche il pregio di trasferire in politiche concrete i principi che sono contenuti nella normativa, personalizzandole sulla realtà nella quale andranno operativamente a ricadere.

L’attuazione di una data governance, quindi, nell’ottica del legislatore europeo, passerà necessariamente attraverso una preliminare fase di studio e individuazione delle caratteristiche tipiche della propria struttura, delineazione dei processi che sovrintendono alla gestione dei dati per tutto il loro ciclo di vita (raccolta, trattamento, trasferimento, messa in sicurezza e distruzione del dato stesso), formalizzazione di tali processi e delle procedure che dovranno verificare la messa in opera degli stessi e, infine, l’adozione di sistemi correttivi nel caso in cui tali processi risultino non aderenti o non idonei rispetto alla realtà di riferimento.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati