Il GDPR non è (solo) carta !!!!

[Giancarlo Favero]

Uno degli sforzi più significativi che devo fare nei numerosi corsi di formazione che tengo, è scardinare la vecchia concezione "burocratica", che consiste nel considerare la gestione della sicurezza e della privacy come il dover produrre un sacco di carta.
Beninteso, la carta è importante, ma non c'è solo quella.
Con il GDPR, la musica è cambiata.
Oltre alla carta, ci sono azioni, controlli, attività, procedure operative, scansioni di vulnerabilità, penetration testing, scansioni della rete, analisi dei file di log, information verifiche periodiche da fare, sia interne che esterne.

Da questo punto di vista è illuminante l'art. 32 comma 1 lettera d) del GDPR, dove si richiede che deve essere massa a punto

una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza delle informazioni.

Le paroline magiche sono "testare", "verificare", "valutare", "regolarmente" ed "efficacia". E attenzione, le verifiche ed i controlli non si fanno sulla carta, sennò succede quello che è accaduto col ponte Morandi di Genova, che ad un certo punto crolla, oppure succede che ci si becca della violazioni di dati devastanti o delle sanzioni milionarie.

Le verifiche si fanno con la testa e con le mani; e soprattutto, alta parolina magica introdotta dal GDPR, si fanno "regolarmente", cioè vale a dire periodicamente, non una tantum.

Quindi attenzione, col GDPR la musica è cambiata: non basta fare carta, ma bisogna fare azioni concrete, controlli, verifiche, attivare procedure operative, e tutto questo regolarmente.

Quindi per quanto ci riguarda, d'ora in poi ci sarà molta meno carta, ma più procedure operative da mettere in atto periodicamente.

Grazie,
Giancarlo Favero