Documentazione GDPR

Documentazione GDPR

Documentazione GDPR

Esistono una moltitudine di Software per gestire la Documentazione GDPR, quasi tutti nella modalità SAAS (Software As A Service), cioè composti da procedure fruibili tramite Internet con base dati su Cloud.

In seguito a ciò, l'uso di tali programmi è sottoposto alla corresponsione di un canone di abbonamento annuo (ed eventualmente una somma "una Tantum" di attivazione).
Ho conoscenza indiretta che qualcuno, per poter vendere il proprio software, affermi in generale che:

  • Il software sia indispensabile per essere conformi al nuovo regolamento
  • Utilizzando il software, ci si mette in regola.

Mi sento di poter affermare che siano cose assolutamente non vere, infatti:

la reale conformità al Regolamento è rappresentata dal comportamento Tecnico, Organizzativo, Formativo e dai Sistemi di Sicurezza e di Prevenzione che l'Azienda mette in opera per il trattamento dei dati.

Aspetti positivi

Non è mia intenzione fare una recensione sui software per la Documentazione GDPR: vorrei solo offrire una serie di elementi, dal mio personale punto di vista, che aiutino a capire come orientarsi.
Iniziamo con la considerazione dei molti aspetti positivi, sicuramente non esaustivi:

  1. Aiuto nella creazione della documentazione iniziale (sia essa obbligatoria od opzionale) sul GDPR, ma con molta attenzione agli elementi di pericolosità che presenterò in seguito.
  2. Velocità nei report negli elementi ripetitivi.
  3. Uniformità nelle stampe e nei report a livello di "Documento finale" e nelle riedizioni parziali o totali successive.
  4. Come tutti sanno, la documentazione non è statica ma richiede aggiornamenti continui, sia in base a nuove modifiche del Regolamento che ad elementi nuovi o diversi che possano sopraggiungere nell'Azienda (dimissioni , assunzioni, nuovi trattamenti, formazione, cessazione di vecchi trattamenti, cambio consulenti, ecc.). Un software ben strutturato può sicuramente aiutare a tale mantenimento, senza dover riscrivere molte cose e tenendo in ordine.
  5. Grazie alla fruibilità tramite Internet, consentono la supervisione della documentazione da parte di un Consulente per la realizzazione di interventi mirati di correzione o inserimento. Tutto ciò contribuisce alla diminuzione dei costi ed all'aumento dell'autonomia e della velocità di intervento da parte del consulente stesso.
  6. Risparmio da parte dell'Azienda nei confronti del Consulente Privacy, in quanto:
    1. Il Consulente non perde tempo ad inserire i dati "fiscali" di anagrafiche varie, ma si concentrerà sulla vera essenza del GDPR.
    2. Il consulente può agevolmente seguire più aziende senza intervento in loco.
Aspetti negativi

Come le medaglie, tali software possiedono il loro "rovescio", cioè gli aspetti negativi e pericolosi:

  1. Molti sono una "riedizione" dei vecchi programmi sulla Privacy (D.lgs. 2003/ 196) con l'introduzione di elementi nuovi. Questo è sicuramente dovuto all'attuale mancanza di informazioni da parte del Garante in merito al "vecchio" codice della Privacy, sull'eventuale sua integrazione, armonizzazione  e, non in ultimo, abrogazione.
  2. In alcuni di essi vi sono alcune gestioni troppo analitiche, che portano ad una complicazione delle scritture e di conseguenza, alla necessità di un aggiornamento troppo frequente. L'attuale Regolamento, ad esempio, non prevede esplicitamente la tracciatura delle caratteristiche delle singole postazioni di lavoro (Asset Management) e dei software installati: molti software tuttavia obbligano o quasi una tale gestione. Ricordo che, per adesso, la necessità di documentare l'Asset Management esiste solo per le Pubbliche Amministrazioni (per le quali sono valide le misure minime previste dalla Circolare AgID del  18 Apr 2017)
  3. In ultimo, ma non meno importante, ritengo siano pericolosi certi "Wizard" (cioè procedure interne ai software di aiuto alla compilazione) che, pur senza l'intenzione esplicita della Software House, rischiano di semplificare certe problematiche portando l'utente inesperto a:
    1. Riportare dati che potrebbero essere inesatti.
    2. Non riportare elementi che, pur non essendo obbligatori, risulterebbero utili e convenienti.
Conclusione

Non ho nulla contro tali software, anzi, li ritengo di estrema utilità, ma essi vanno usati dopo aver capito bene la normativa e come applicarla nella propria Organizzazione, oppure seguiti da un Consulente Privacy (anche solo per dare dei consigli).
Ritengo inoltre che in base al suddetto punto 3, non debbano essere troppo intelligenti, e provvedere solamente ad una gestione meccanica e non troppo vincolante della documentazione.
Attualmente ho dovuto redigere della documentazione GDPR in maniera del tutto manuale e, senza un software di aiuto, ho lavorato sicuramente di più per:

  • Riscrivere gli elementi ripetitivi (serie di copia/incolla) ed uniformare gli elementi "estetici".
  • Dopo la correzione, ad esempio, di alcune misure preventive, ho dovuto manualmente propagarle in tutti i Trattamenti ed Incarichi.
  • Dopo una riflessione successiva, ho deciso che la password dovesse essere cambiata, al posto di 6 mesi, ogni 3 mesi: potete immaginare tutti i punti in cui ho dovuto modificare il parametro !

In seguito a tali esperienze, ho collaborato con gli esperti software di "Officina Tecnologica" effettuando parte dell'analisi per la costruzione di un software su Cloud in grado di aiutare Consulenti ed Aziende nella Documentazione in ottemperanza al GDPR.

Scritto da

Consulente in Informatica Forense, Privacy e GDPR. Consulenze Tecniche e Perizie in Informatica, Consulente del Giudice.

Guarda tutti i messaggi di :

I commenti sono chiusi