26 Novembre 2022

Uno standard ESG a settimana: G4 «Adozione policy per tutelare la sicurezza e riservatezza dei dati e delle informazioni»

REDAZIONE

Immagine dell'articolo: <span>Uno standard ESG a settimana: G4 «Adozione policy per tutelare la sicurezza e riservatezza dei dati e delle informazioni»</span>

Abstract

In questa serie di articoli presentiamo lo Standard ESG di 4cLegal incluso nel servizio di ESG Accreditation per gli Studi Professionali e utile per tutte le organizzazioni che intendano attivare un percorso di sostenibilità. Ogni elemento, oggi trattiamo di G4, verrà raccontato con cadenza settimanale a partire da una breve descrizione della policy e delle azioni concrete intraprese da 4cLegal, in primis, per implementarlo.

***

Lo speciale sullo Standard ESG di 4cLegal

Continua lo speciale che ci accompagnerà fino a fine anno per raccontare come in 4cLegal abbiamo implementato, e continuiamo a farlo, lo Standard ESG previsto all’interno del servizio di Accreditamento ESG per gli Studi Professionali e utile per tutte le organizzazioni che intendano attivare un percorso di sostenibilità. Lo scopo di questo speciale è duplice: da un lato, quello di presentare i 26 elementi di sostenibilità accreditabili e dall’altro dimostrare la compliance delle nostre policy ai parametri ESG che sono fondativi per 4cLegal. Come abbiamo scritto nel Manifesto dell’Hub ESG, la coerenza tra ciò che proponiamo e ciò che facciamo è un valore costitutivo del nostro lavoro.

Lo Standard ESG di 4cLegal per gli Studi Professionali consta di 26 elementi di sostenibilità validabili, rispettivamente 7 nell’area Environmental, 7 nell’area Social e 12 nell’area Governance. Tratteremo un elemento dello standard a settimana nello stesso ordine in cui sono concepiti (qui l'illustrazione di G1), esponendo ciascun item, descrivendo la policy e le azioni concrete necessarie per soddisfarlo.  

Continuiamo con G4, il quarto elemento relativo all’area Governance, riguardante l’«adozione e concreta implementazione di una policy idonea a tutelare la sicurezza e riservatezza dei dati e delle informazioni, anche dei clienti, in conformità alle normative e alle best practice applicabili».

 

Il quarto elemento: G4 – Adozione e concreta implementazione di una policy idonea a tutelare la sicurezza e riservatezza dei dati e delle informazioni, anche dei clienti, in conformità alle normative e alle best practice applicabili

Per «dati personali» si intendono tutte quelle informazioni che possono identificare una persona, direttamente o in combinazione con altri dati. Tra questi si possono annoverare i dati che permettono un riconoscimento diretto, come quelli anagrafici, e quelli che consentono un’identificazione indiretta, come il codice fiscale, l’indirizzo IP, i cosiddetti dati sensibili e, infine, quelli giudiziari. La loro protezione è sancita dalla Carta dei diritti fondamentali dell’Unione europea che all’Articolo 8 stabilisce che «ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano».

 

Il contesto di sostenibilità

Il Regolamento generale per la protezione dei dati personali 2016/679 (GDPR) rappresenta la principale norma europea in materia di protezione dei dati personali. L’obiettivo del GDPR è quello di armonizzare in tutti i Paesi membri la regolamentazione in materia di protezione dei dati personali allo scopo di sviluppare un Mercato Unico Digitale (Digital Single Market) e rispondere alle nuove sfide derivanti dall’innovazione tecnologica.

L’articolo 25, in particolare, impone alle aziende l’obbligo di tutelare i dati personali al fine di evitare trattamenti illeciti e questo vale anche per gli Studi Professionali che sono chiamati a fare la loro parte anche dal Codice Deontologico Forense. Di conseguenza, la protezione dei dati personali, rientrando nella tutela dei diritti fondamentali e inviolabili delle persone, rappresenta un fattore irrinunciabile di Sostenibilità.

Andare oltre quelli che sono gli obblighi previsti dalla legge, sviluppando sistemi di compliance in conformità alle best practice applicabili per la efficace gestione dei dati personali, fa parte della Responsabilità Sociale d’impresa e rappresenta un vero e proprio shift culturale.

 

Cosa fare per implementare la policy: il caso 4cLegal

La tutela della sicurezza e della riservatezza dei dati e delle informazioni costituisce uno degli ideali regolativi che è alla base del nostro agire quotidiano. Per questi motivi, ci siamo sempre adoperati per garantire la riservatezza (assicurare che l’informazione sia accessibile unicamente ai soggetti e/o ai processi debitamente definiti ed autorizzati), l’integrità (salvaguardare la consistenza dell’informazione da modifiche non autorizzate) e la disponibilità (assicurare che gli utenti autorizzati abbiano accesso alle informazioni quando ne abbiano necessità) dei dati.

  • Abbiamo scelto di introdurre, grazie anche alla collaborazione con consulenti esterni, un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, Information Security Management System) che vede attualmente in corso il processo di certificazione secondo lo standard ISO/IEC 27001:2013 (UNI CEI ISO/IEC 27001:2017), che attesta l’implementazione delle best practice nell’ambito della sicurezza delle informazioni, per quanto riguarda il nostro prodotto core “progettazione ed erogazione di servizi per la gestione dei processi di beauty contest mediante soluzioni tecnologiche software web-based”. 
  • Abbiamo creato e implementato, in collaborazione con dei consulenti esterni, una Policy sul Trattamento dei Dati Personali allo scopo di rispettare appieno le normative applicabili e ridurre ogni rischio.
  • Abbiamo istituito un Ufficio Privacy con il compito di coordinare le varie attività in materia di protezione dei dati personali e promuovere tutte le misure tecniche e organizzative necessarie per assicurare in ogni situazione un livello di sicurezza adeguato al rischio.
  • L’Ufficio Privacy e i consulenti esterni si riuniscono con cadenza bisettimanale allo scopo di monitorare e assicurare la conformità normativa delle attività di trattamento dei dati personali.

In aggiunta alle misure precedenti abbiamo adottato anche delle disposizioni tecniche volte a massimizzare la sicurezza e la riservatezza dei dati e delle informazioni quali:

  • Misure atte a garantire la sicurezza e l’incolumità dei beni e delle persone (accesso ai locali mediante badge, accesso riservato, password).
  • Gestione delle autorizzazioni per l'accesso ai dati.
  • Protezioni tecniche di tipo informatico: firewall, antivirus, anti-malware, anti-spyware e anti-sniffer.
  • Dipendenti e collaboratori vengono informati, attraverso una newsletter interna, delle misure adottate e di quelle da adottare per contribuire a migliorare i comportamenti virtuosi nell’ambito della sicurezza dei dati.

Per saperne di più di questo elemento e di tutti quelli che compongono il servizio di Accreditamento ESG segnaliamo il corso di formazione ESG che puoi acquistare nell'ambito della Membership di 4cLegal.

Altri Talks