Il processo di gestione degli asset aziendali è particolarmente importante per le aziende in quanto consente a queste ultime non solo di mappare e monitorare le proprie risorse, migliorando le attività operative e prevenendo eventuali perdite e abusi, bensì di minimizzare i rischi privacy connessi al loro utilizzo proteggendo tali beni, individuando specifici privilegi di accesso e garantendo, quindi, una rapida reazione in ipotesi di data breach.
In primo luogo, si rende quindi necessario per l’azienda stilare un inventario delle risorse fisiche e digitali di proprietà coinvolte nei trattamenti dei dati personali (quali a titolo esemplificativo PC, laptop, tablet, smartphone, etc..) ed individuare, conseguentemente, le funzioni di tali beni, l’ubicazione e le persone assegnatarie degli stessi.
Se l’azienda non dispone di uno specifico software dedicato alla gestione degli asset, tale processo potrà essere gestito con un foglio Excel.
L’inventario dovrà poi essere aggiornato ad ogni intervenuta variazione degli elementi dell’asset e revisionato con periodicità quantomeno annuale.
Ciò in quanto l’azienda, nell’ottica dell’accountability e della privacy by design e default (art. 7 LPD e 25 GDPR), è chiamata a revisionare periodicamente le misure di sicurezza (tecniche e organizzative adottate al fine di garantire che la sicurezza dei dati personali sia adeguata al rischio nonché al fine di evitare violazioni della sicurezza dei dati (art. 8 LPD, art. 3 OPDa e 32 GDPR).
Il processo di gestione degli asset, pertanto, non si riduce ad un mero inventario dei beni aziendali costantemente aggiornato, bensì richiede all’azienda di compiere una serie di valutazioni ulteriori in termini di riservatezza, integrità e disponibilità si da individuare, a valle di un processo di valutazione dei rischi, quali siano le misure di sicurezza necessarie per proteggere tali risorse ed i dati personali degli interessati trattati mediante le stesse.
Come evidenziato specificatamente dall’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) nella Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM), la sicurezza dei dati implica altresì la messa in sicurezza dell’accesso ai dati.
Con particolare riferimento agli asset aziendali, occorre quindi definire con chiarezza sia chi abbia accesso a quella specifica risorsa che le modalità di gestione delle credenziali di identificazione e di autenticazione dell’utente (ad es. a fronte di una nuova assunzione o di una modifica delle mansioni ricoperte) e verificare, successivamente, che non siano venuti meno i privilegi di accesso (ad es. a fronte della cessazione del rapporto di lavoro o di modifica delle mansioni ricoperte).
Trattasi di principi che, nell’ottica di generare un sistema di gestione integrato, potranno essere codificati dall’azienda nelle procedure di onboarding e offboarding, consentendo così alle funzioni aziendali HR e IT di mappare, avere contezza e verificare costantemente i privilegi di accesso delle persone autorizzate al trattamento dei dati personali in azienda.
Ma vi è di più.
In caso di data breach, infatti, la mappatura precisa degli asset nonché l’identificazione precisa dei supporti su cui risiedono i dati personali, la loro ubicazione e le misure di sicurezza adottate per proteggere tali beni sono in grado di assicurare una gestione più efficiente della violazione ed una reazione più tempestiva, consentendo così un rapido ripristino della normale operatività della società con riduzione al minimo dell’impatto rispetto all’interessato.
Considerato, poi, che ogni singolo asset è un potenziale contenitore di dati personali, è fondamentale per l’azienda formare i propri dipendenti (sia inizialmente in sede di assunzione che nel corso del rapporto) al fine di renderli consapevoli delle responsabilità e dei compiti connessi al trattamento effettuato mediante le risorse assegnate.
In conclusione, possiamo affermare che una gestione responsabile e privacy compliant degli asset permette di garantire agli interessati (come clienti, fornitori, visitatori, utenti dei siti internet, candidati, ecc.) elevati standard di tutela dei dati personali trattati, rafforzando in questo modo la reputazione aziendale agli occhi degli stakeholder e diventando, di conseguenza, un vero e proprio vantaggio competitivo.
