Gran parte delle imprese e delle amministrazioni pubbliche che hanno completato o stanno completando l’adeguamento al Regolamento GDPR, incontrano notevoli difficoltà nella sua applicazione concreta.
Risultano particolarmente problematici la gestione del registro dei trattamenti, gli accordi con fornitori IT sulla protezione dei dati e sulle misure di sicurezza da adottare, la diffusione a livello aziendale di un’adeguata consapevolezza della necessità di protezione dei dati, la valutazione dei rischi per i diritti e le libertà degli interessati in caso di introduzione di un nuovo trattamento, l’esecuzione del Data Protection Impact Assessment (DPIA), l’individuazione e la gestione delle violazioni.
Una parte significativa delle difficoltà deriva dall’uso, per la gestione degli adempimenti, di una molteplicità di file (excel, word, ecc.) che non consentono, ad esempio, di garantire in modo costante la qualità del dato e il suo allineamento, in caso di cancellazione, aggiornamento o nuovo inserimento, né il collegamento fra dati spesso associati a diverse legal entity ma che devono comunicare fra loro.
La piattaforma GRC360 per rendere facili e fluidi gli adempimenti
Per supportare le organizzazioni nella gestione degli adempimenti GDPR e risolvere gran parte dei problemi sopra indicati, P4I, società del gruppo Digital 360, ha lanciato la soluzione GRC360, basata sulla piattaforma KRC-Solution di KeisData. La piattaforma consente di automatizzare gran parte delle attività, precedentemente gestite manualmente, e dimostrare in modo semplice il rispetto del principio di responsabilizzazione richiesto dal Regolamento.
La possibilità di memorizzare su un unico repository i dati consente di garantire sia l’allineamento in caso di variazioni, sia la comunicazione fra più aziende di uno stesso gruppo evitando il rischio incoerenza.
L’impiego della piattaforma, disponibile as a service, facilita la disponibilità del registro dei trattamenti o di altri documenti per i diversi attori e per le diverse unità aziendali, eventualmente su più country, anche grazie alla funzionalità multilingua, oltre a garantire la visibilità sulle modifiche precedentemente apportate. Un altro vantaggio offerto dalla piattaforma è quello di poter fornire viste personalizzate sulla base della funzione, del ruolo e della country.
Un work flow per gestire gli adempimenti
Un importante valore aggiunto della piattaforma deriva dal motore di workflow management che consente di distribuire i compiti fra i diversi soggetti, permette di programmare ed eseguire in modo automatico controlli e attività massive di aggiornamento, gestire le scadenze, attivare reminder e alllarmi, riassegnare l’aggiornamento del registro trattamenti, garantire la notifica entro le 72 ore di un’eventuale violazione.
Un dashboard che abilita una visione d’insieme consente di lanciare le attività decentrate su diverse funzioni,
di avere una vista di sintesi del livello di conformità del Gruppo o della specifica Società ed evidenziare le aree di criticità rispetto al GDPR, semplificando anche il lavoro del DPO, che sarebbe invece assai più complesso se dovesse ricostruire la situazione da file excel.
Configurare la piattaforma, pronta anche per i prossimi sviluppi
È prevista una fase progettuale di configurazione durante la quale inserire le informazioni di base relative all’azienda, come il contesto societario, le anagrafiche principali, le misure di sicurezza previste ai fini del data protection, eventualmente già in atto per la protezione dei dati personali o le finalità dei trattamenti.
Queste informazioni, inserite in fase di set up, saranno riutilizzabili nel caso in cui l’organizzazione decidesse di dotarsi dei nuovi moduli che prossimamente P4I affiancherà a GRC360, finalizzati alla gestione della compliance alle principali normative e standard internazionali, con un duplice vantaggio: non doverle inserire nuovamente e garantire la coerenza fra i diversi moduli.
