Il sistema di gestione delle informazioni e l'approccio olistico della protezione dei dati personali
Il Regolamento UE 679/2016 si fonda sul concetto di “responsabilizzazione” (accountability), ossia, sull’adozione da parte dei Titolari e Responsabili del trattamento di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina in materia di protezione dei dati personali. Si tratta di un obiettivo perseguibile a condizione che venga implementato un modello organizzativo che sia espressione di un adeguato sistema di gestione in materia di protezione dei dati personali.
(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy)
Un sistema di gestione (c.d. management system) è, all’interno di una organizzazione, un insieme di pratiche organizzative (processi) collegati fra loro.
La ISO 9000:2015 definisce il sistema di gestione per la sicurezza delle informazioni (SGSI), noto anche come, information security management system (ISMS) come la parte del sistema di gestione di un'organizzazione che si occupa della sicurezza delle informazioni.
Nell'ambito della sicurezza delle informazioni esistono schemi di certificazione come quello basato sulla ISO/IEC 27001 che rappresenta lo standard internazionale di riferimento per la gestione della sicurezza delle informazioni.
Attraverso questo standard si definisce un processo di gestione dei rischi che coinvolge persone, processi e sistemi IT, fornendo così un approccio olistico alla sicurezza delle informazioni, cioè, che tiene in considerazione non solo una parte specifica, ma l'interezza del sistema.
Inoltre per le organizzazioni impegnate nel rispetto della disciplina sulla protezione dei dati personali la ISO/IEC 27701 fornisce indicazioni per proteggere i dati personali nell'ambito di un sistema di gestione della sicurezza delle informazioni. Essa infatti si basa sui requisiti della ISO/IEC 27001 aiutando in questo modo i titolari del trattamento a gestire i rischi per la “privacy”.
Ne segue, pertanto, che l'implementazione di un sistema di gestione conforme ai suindicati standard aiuterà il titolare del trattamento a provare di aver adottato misure tecniche e organizzative adeguate al rischio.
La stessa Autorità Garante afferma che: attraverso la certificazione, titolari e responsabili del trattamento beneficiano dell'attestazione di una terza parte indipendente allo scopo di dimostrare la conformità delle loro operazioni di trattamento.
In particolare osserva il Garante che per i sistemi di gestione la certificazione consente all’organizzazione o alla persona che si certifica di dimostrare al mercato, la capacità di strutturarsi e gestire le proprie risorse e i propri processi produttivi in modo tale da riconoscere e soddisfare i bisogni dei clienti, inclusi quelli relativi al rispetto dei requisiti cogenti, nonché l’impegno a migliorare continuativamente tale capacità.
In conclusione, ricordiamo che se da un lato l’articolo 42 del Regolamento UE 679/2016 affida agli Stati membri, alle autorità di controllo, al comitato e alla Commissione il compito di incoraggiare l'istituzione di meccanismi di certificazione della protezione dei dati, tesi a dimostrare la conformità dei trattamenti al regolamento, dall’altro non possono ridurre la responsabilità del titolare o del responsabile del trattamento.