Marcus Belke
CEO di 2B Advice GmbH, che guida l'innovazione nella privacy conformità e di gestione del rischio e di guidare lo sviluppo di Ailance, la nuova generazione di prodotti per la salute. conformità piattaforma.
Nella pratica operativa della protezione dei dati, viene ancora utilizzato prevalentemente un mezzo di comunicazione che non era stato originariamente concepito per processi di governance strutturati: la posta elettronica. Quello che era nato come uno strumento di scambio flessibile e a bassa soglia si è trasformato in un veicolo centrale per i processi rilevanti per la protezione dei dati in molte organizzazioni, con notevoli conseguenze legali e organizzative. In particolare nel contesto della responsabilità ai sensi dell'articolo 5, paragrafo 2, del Codice Civile. GDPR e gli obblighi organizzativi generali di cui all'art. 24 GDPR diventa chiaro che la posta elettronica come strumento di controllo primario presenta dei deficit strutturali.
L'e-mail come problema di governance
In pratica, la posta elettronica viene spesso utilizzata come strumento di controllo centrale per i processi rilevanti per la protezione dei dati. La sua apparente efficienza si basa su semplici Disponibilità e flessibilità. Tuttavia, sono proprio queste caratteristiche a favorire l'emergere di processi informali che sfuggono a un controllo sistematico. Le questioni relative alla protezione dei dati vengono spesso affrontate via e-mail quando si presenta la situazione, senza una registrazione strutturata o una chiara gestione del processo.
Tale comportamento è in contrasto con i requisiti del GDPR. La responsabilità richiede non solo azioni conformi alle regole, ma anche prove affidabili di tali azioni. Documentazione. Tuttavia, i processi di comunicazione distribuiti su singole caselle di posta elettronica e che non seguono una struttura standardizzata possono essere trasferiti a strutture di governance verificabili solo in misura limitata. È difficile applicare standard affidabili e processi coerenti in questo modo.
A ciò si aggiunge la marcata personalizzazione della comunicazione via e-mail. Conoscenze, responsabilità e stati decisionali sono spesso collegati a caselle di posta individuali. In caso di assenze o cambi di responsabilità, si verificano interruzioni che possono essere compensate solo con un notevole sforzo. Ciò comporta una perdita di efficienza e aumenta il rischio di decisioni errate o incoerenti.
Mancanza di trasparenza con la posta elettronica
L'elaborazione delle procedure di protezione dei dati tramite e-mail rende difficile mantenere una visione d'insieme del processo. Le richieste, le notifiche e il coordinamento sono di solito distribuiti su diversi thread di comunicazione che si svolgono in parallelo o sono frammentati dall'inoltro. Lo stato attuale del processo è quindi spesso difficile da ricostruire.
Ciò ha conseguenze significative per la gestione operativa. Ad esempio, non è facile capire quali processi siano aperti e non è nemmeno possibile determinare in modo affidabile lo stadio di elaborazione. Anche le responsabilità rimangono spesso implicite. Il risultato è un maggiore sforzo di coordinamento, che impegna le risorse e rallenta l'elaborazione.
Questo deficit è particolarmente rilevante per quanto riguarda le scadenze legali. Il trattamento tempestivo dei diritti dell'interessato ai sensi dell'art. 12, par. 3 GDPR e il rispetto dei termini di notifica in caso di violazione dei dati, ai sensi dell'art. 33. GDPR richiedono che le informazioni siano disponibili in modo completo e tempestivo. Una comunicazione via e-mail frammentata, invece, aumenta il rischio di ritardi e valutazioni errate.
Le cronologie delle e-mail come trappola per l'audit
Mentre il Trasparenza Lo stato attuale di un processo, la questione della tracciabilità retrospettiva si pone anche in questo caso. Anche in questo caso, la debolezza strutturale della posta elettronica diventa evidente. I processi di comunicazione non sono generalmente progettati per rappresentare sistematicamente i processi decisionali. Le informazioni rilevanti si perdono in lunghe discussioni, le fasi intermedie rimangono poco chiare e il coordinamento parallelo porta a stati di documentazione contraddittori.
Questo diventa un problema particolare nelle situazioni di ispezione e revisione. Le autorità di vigilanza, infatti, si aspettano una presentazione chiara di come sono state prese le decisioni e di quali misure sono state adottate. Le cronologie delle e-mail non forniscono regolarmente una base affidabile per questo. Sono difficili da analizzare, spesso incompleti e a prova di audit solo in misura limitata.
Il risultato è una restrizione di fatto della responsabilità. Senza una strutturazione Documentazione i requisiti di protezione dei dati possono essere documentati solo in misura limitata. Questo non riguarda solo i singoli casi, ma anche la funzionalità dell'intero sistema di gestione della protezione dei dati. Ciò aumenta il rischio di reclami normativi.
Suggerimento di lettura: La giusta preparazione all'audit nella protezione dei dati
Separare i processi dalla comunicazione via e-mail
In questo contesto, un approccio basato sul sistema sta diventando sempre più importante. L'obiettivo è quello di eliminare i processi rilevanti per la protezione dei dati dalla comunicazione via e-mail e trasferirli a sistemi specializzati. Tali sistemi consentono una registrazione strutturata dei processi, una chiara attribuzione delle responsabilità e una protezione dei dati senza soluzione di continuità. Documentazione di tutte le fasi rilevanti.
Un approccio basato sul sistema crea le condizioni per flussi di lavoro standardizzati. Le richieste o i messaggi in arrivo vengono registrati a livello centrale, classificati ed elaborati secondo processi definiti. Le informazioni sullo stato possono essere richiamate in qualsiasi momento. Le scadenze possono essere monitorate automaticamente. Le decisioni sono documentate in modo coerente e possono essere rintracciate a prova di audit.
Inoltre, tale sistema facilita l'integrazione nelle strutture di compliance e di gestione del rischio esistenti. Il Protezione dei dati non è più gestita in modo isolato attraverso i singoli canali di comunicazione, ma è vista come parte integrante della governance aziendale.
Modello di collaborazione per la collaborazione basata sui ruoli
Oltre alla dimensione tecnica, è necessario anche un modello di collaborazione adeguato. Poiché la protezione dei dati è una funzione trasversale a tutte le divisioni, sono coinvolti diversi reparti come l'IT, l'ufficio legale, le risorse umane e le unità operative. Il coordinamento basato principalmente sulla posta elettronica porta spesso a responsabilità poco chiare e a strutture di comunicazione inefficienti.
Un modello di collaborazione supportato dal sistema, invece, consente una collaborazione basata sui ruoli. Gli attori coinvolti lavorano in un contesto comune e accedono alle informazioni rilevanti in modo mirato. La comunicazione avviene direttamente nel rispettivo processo e rimane quindi assegnabile in modo permanente.
In questo modo è possibile accelerare i processi di coordinamento e ridurre le perdite di informazioni. Allo stesso tempo, questo modello promuove la definizione di responsabilità chiare e processi standardizzati. Di conseguenza, la protezione dei dati non solo è organizzata in modo più efficiente, ma è anche strutturalmente più resistente.
Soluzione intelligente: Ailance come modello di processo centrale
Le carenze strutturali di un'organizzazione per la protezione dei dati basata sulla posta elettronica descritte sopra possono essere colmate in modo sostenibile solo attraverso un approccio sistematico. Ailance mostra come questo può apparire nella pratica.
Ailance trasferisce i processi rilevanti per la protezione dei dati in un modello di processo centralizzato e supportato dal sistema. Le richieste di informazioni, gli incidenti e i processi di revisione non sono più controllati attraverso canali di comunicazione distribuiti, ma vengono elaborati secondo flussi di lavoro chiaramente definiti. Le responsabilità sono chiaramente assegnate, gli stati di elaborazione sono sempre trasparenti e tutte le misure sono documentate a prova di audit.
Ailance sviluppa la protezione dei dati della vostra azienda da un processo reattivo via e-mail a una componente controllabile della governance aziendale. Saremo lieti di mostrarvi esattamente come funziona in una demo.
In particolare, illustriamo come Trasparenza Il sistema consente di avere una chiara visione d'insieme di tutti i processi in corso, di mantenere la trasparenza dei processi decisionali e di rispettare in modo affidabile le scadenze. Allo stesso tempo, diventa chiaro come la cooperazione tra la protezione dei dati, i dipartimenti specializzati e gli altri stakeholder possa essere organizzata in modo strutturato ed efficiente.
Organizzate subito la vostra dimostrazione personale di Ailance.
Marcus Belke è CEO di 2B Advice e avvocato ed esperto di informatica per la protezione dei dati e la digitalizzazione. Conformità. Scrive regolarmente di governance dell'IA, conformità al GDPR e gestione del rischio. Potete trovare maggiori informazioni su di lui sul sito Pagina del profilo dell'autore.
German 
English 
Italian 
French