La rincorsa delle aziende ad adeguare i propri processi per la gestione dei dati personali alle indicazioni del GDPR (scadenza maggio 2018) è iniziata anche se sarà assai difficile che tutte le imprese possano completare questa loro evoluzione per tempo. Anche perché - questione non da poco - non devono solo capire la normativa e soprattutto il suo spirito: devono anche trovare gli strumenti che servono per mettersi in regola.
In un paese con il nostro, fatto in prevalenza da imprese di medie e piccole dimensioni, il mezzo migliore per diffondere sia le tecnologie sia le competenze dettate dal GDPR è passare attraverso un canale presente capillarmente sul territorio. Partendo però da un capofila che punti nettamente sui servizi e sulle soluzioni a valore aggiunto, in chiave progettuale. BB Tech Group risponde a questa descrizione e sarà la sua rete di rivenditori a veicolare, grazie a un accordo specifico, le soluzioni di risk management sviluppate da Risk Solver.

L'offerta di Risk Solver viene considerata - ha spiegato Giampaolo Bombo, CEO di BB Tech Group - complementare a quella preesistente di BB Tech e mette in condizione gli operatori di canale di proporre soluzioni, servizi e competenze che i loro clienti presto richiederanno, se non l'hanno già fatto.

L'approccio di Risk Solver è peraltro trasversale ai processi dell'azienda che decide di seguirlo, elemento pienamente in linea con lo spirito del GDPR. Questo rappresenta un netto distacco dal modello quasi "prescrittivo" di altre norme precedenti, in particolare il Codice Privacy, che impongono una sorta di lista della spesa di adempimenti che le aziende subiscono con poca consapevolezza.
Lo spirito del GDPR è invece responsabilizzare ciascun soggetto che tratta e gestisce dati personali, mantenendo la normativa abbastanza elastica da adattarsi a qualsiasi situazione concreta.

"Non è il legislatore a dire cosa fare - ha sottolineato l’avvocato Giovanna Ianni dello Studio Lexalia di Milano - ma il gestore a dover 'conoscere sé stesso' per poi mettere in atto tutte le misure che risultano necessarie per evitare che i dati personali vadano perduti, anche involontariamente, e siano gestiti correttamente".

Così Risk Solver delinea un vero e proprio percorso che parte da una fase di pre-assessment necessaria a formalizzare come sono trattati i dati personali in azienda e quindi a definire i livelli di rischio correlati al trattamento. Il pre-assessment comprende una analisi tecnologica per la valutazione dei rischio informatico e anche una valutazione del rischio reputazionale. In questa fase una piattaforma di risk management porta a un risk scoring che rappresenta il punto di riferimento iniziale in rapporto agli obiettivi da raggiungere. Così si identificano le aree più critiche su cui intervenire per ridurre il rischio.
Nella fase successiva entrano in gioco diversi strumenti informatici per il monitoraggio e il controllo di quanto sta avvenendo nella propria infrastruttura IT. Controllando il traffico dati via web e sulla rete interna e impiegando elementi di analisi comportamentale diventa possibile rilevare attività improprie nella gestione dei dati.
Rispetto alla norma questi strumenti concretizzano i principi della privacy by design e della privacy by default, garantendo che la gestione delle informazioni sia a priori corretta e si mantenga tale. Nella pratica gli strumenti software svolgono una vasta gamma di funzioni che comprende ad esempio la limitazione dell'accesso a servizi cloud, il controllo remoto dei dispositivi, la gestione di patch e aggiornamenti, la verifica della presenza o meno di certi tipi di dati sui singoli dispositivi, il backup.
Parallelamente Risk Solver offre una piattaforma cloud per semplificare e automatizzare parzialmente la gestione degli adempimenti più formali del GDPR, come l'emissione delle informative, la richiesta dei consensi o le nomine interne delle figure previste dalla normativa. Questa piattaforma è in particolare molto utile in caso di data breach: oltre a semplificare la compilazione dei documenti di notifica, avendo tenuto traccia di tutta la documentazione creata nel processo di adeguamento agli adempimenti può evidenziare tutto quello che è stato fatto e mitigare così le responsabilità collegate al data breach.
Accanto alle soluzioni tecnologiche vere e proprie, Risk Solver propone servizi di formazione a vario livello per dipendenti, responsabili, titolari e a breve anche Data Protection Officer. A disposizione degli utenti ci sono poi processi di certificazione e servizi per la definizione di eventuali polizze assicurative a copertura del rischio residuo che non è stato possibile annullare puntando solo sulla tecnologia.