Webinar su richiesta in arrivo…

Blog

Perché il team che si occupa della privacy e quello che gestisce i rischi da parte di terzi devono lavorare insieme

La condivisione di informazioni e risorse tra i diversi compartimenti aziendali è utile per tutti i team che hanno l'obiettivo di mitigare i rischi per la privacy dei dati

Scott Solomon
Responsabile senior del marketing dei prodotti
7 marzo 2023

Indice

Nell'attuale contesto aziendale interconnesso, ogni azienda si affida a un ecosistema di fornitori, vendor e provider di servizi. Queste relazioni con terze parti possono generare valore aziendale, ma creano anche dei rischi. Ecco perché, per valutare e mitigare tali rischi, la creazione di team dedicati alla gestione dei rischi di terzi è sempre più comune.

I rischi da parte di terzi possono portare a violazioni dei dati, interruzioni della catena di fornitura, media avversi e altri eventi che causano danni alla reputazione dell'azienda. Gli amministratori delegati e gli altri alti funzionari devono essere a conoscenza di questi rischi e una strategia unificata di gestione del rischio di terzi può aiutare in questo senso.

Gli altri team hanno comunque un ruolo da svolgere, anche nei casi in cui un team dedicato alla gestione del rischio di terzi supervisiona tutta l'organizzazione. Infatti, i leader aziendali come i Responsabili della privacy dovrebbero incoraggiare la collaborazione e la condivisione delle informazioni tra il loro team e quello che si occupa dei rischi di terzi. La collaborazione tra questi due team è utile per tutti: entrambi saranno in grado di condividere informazioni e approfondimenti che possono aiutare l'altro a raggiungere obiettivi comuni.       

Aziende di tutte le dimensioni stanno rapidamente passando da una tradizionale gestione dei rischi di terzi a un tipo di gestione delle terze parti più globale. Per saperne di più, consulta questo eBook.

In che modo i rischi da parte di terzi influiscono sul team addetto alla privacy?

Spesso, quando collabori con terze parti, rinunci a un certo grado di controllo sui dati, compresi i dati personali sensibili dei tuoi clienti. La responsabilità ultima del modo in cui le terze parti gestiscono tali dati spetta alla tua organizzazione. Anche se la colpa è di terzi, qualsiasi forma di violazione dei dati danneggia la reputazione di un'azienda.

Lo stesso vale per i requisiti di conformità. Molte normative sulla privacy dei dati, tra cui il regolamento generale sulla protezione dei dati (GDPR) in Europa e le normative a livello statale in CaliforniaColoradoConnecticutUtahVirginia, includono requisiti relativi ai rischi da parte di terzi, il che significa che tutte le organizzazioni potrebbero essere ritenute legalmente responsabili se le loro terze parti non gestiscono correttamente le informazioni sensibili. Per dimostrare la conformità a questi requisiti, le aziende hanno bisogno di una collaborazione efficace tra il team addetto alla tutela della privacy dei dati e quello che si occupa della gestione del rischio di terzi.

Ad esempio, molte normative sulla privacy dei dati includono l'obbligo di onorare le richieste relative al rifiuto di vendere o condividere i dati di un cliente. Questo requisito si applica sia ai titolari del trattamento, ovvero le organizzazioni che condividono i dati, che ai responsabili del trattamento, cioè le terze parti che gestiscono i dati per conto dei titolari. Per garantire che tutti i responsabili del trattamento rispettino queste richieste man mano che arrivano, i team addetti alla privacy dei dati devono sapere quali terze parti hanno accesso ai dati dei clienti e come li utilizzano. In breve, questi due team i devono essere sulla stessa lunghezza d'onda.

Per proteggersi dai rischi e affrontare le difficoltà menzionate, i team addetti alla privacy dei dati utilizzano un processo chiamato ''mappatura dei dati'' per raccogliere le informazioni necessarie e rispondere a importanti domande sui dati, tra cui:

  • con chi condivide i dati l'organizzazione? 
  • quali dati condivide l'organizzazione e per quale finalità? 
  • dove vanno a finire i dati? Nel caso in cui dovessero essere trasferiti all'estero, potrebbero sorgere ulteriori problemi di conformità.  
  • quali controlli sulla privacy vengono utilizzati dalle terze parti per tutelare i dati man mano che vengono trasferiti?

A causa del volume estremamente elevato di dati che le organizzazioni gestiscono da origini diverse, la mappatura dei dati può essere un processo lungo e complesso.. La buona notizia è che pochissimi team addetti alla privacy iniziano da zero. Infatti, è da diversi anni che le leggi sulla tutela della privacy che richiedono la mappatura dei dati sono in vigore. Ad esempio, è molto probabile che le aziende che conducono i propri affari all'interno dell'Unione Europea abbiano già una mappa dati, in quanto avrebbero dovuto crearne una con l'entrata in vigore del GDPR. 

I team addetti alla privacy possono condividere le proprie mappe dati per aiutare il lavoro del team che si occupa della gestione dei rischi da parte di terzi. Ad esempio, può essere molto utile per questo team sapere quali attività di trattamento vengono svolte da terze parti. Quando una singola terza parte possiede più servizi, l'organizzazione può avere più incarichi con tale terza parte, con attività di trattamento dei dati specifiche per ciascun servizio. Per il team di gestione del rischio di terzi può essere difficile tenere traccia di questo tipo di complessità. Ancora una volta, il team addetto alla privacy può essere d'aiuto condividendo le informazioni della sua mappa dati.  

In che modo i team che si occupano dei rischi da parte di terzi possono aiutare quelli addetti alla privacy?

Proprio come il team addetto alla privacy può supportare il team di gestione dei rischi di terze parti condividendo la mappa dati, quest'ultimo può supportare l'altro condividendo le informazioni dell'inventario delle terze parti. La maggior parte dei team addetti alla gestione dei rischi legati ai terzi dispone già di un inventario completo delle terze parti con cui l'organizzazione collabora e continua ad aggiornarlo man mano che nuove terze parti vengono coinvolte. 

L'inventario include informazioni raccolte durante le fasi iniziali di due diligence, valutazione e monitoraggio del ciclo di vita della gestione dei rischi legati alle terze parti. Alcune di queste informazioni, come i dettagli sulle misure di sicurezza informatica e di tutela della privacy, potrebbero rivelarsi utili al lavoro del team addetto alla privacy. La condivisione di tali informazioni aiuta entrambi i team a mitigare i rischi che le terze parti possono porre. 

Molte leggi sulla protezione dei dati richiedono alle organizzazioni di effettuare valutazioni del rischio per la privacy, note anche come valutazioni dell'impatto sulla privacy (PIA). L'esecuzione di una PIA aiuta il team addetto alla privacy a comprendere dove l'organizzazione potrebbe mettere a rischio i dati sensibili dei clienti e a creare una strategia per mitigare tale rischio. Il team dedicato alla privacy può utilizzare i dati e le informazioni ricavati dalle valutazioni dei rischi da parte di terzi per contribuire a orientare e ottimizzare le proprie valutazioni dei rischi.

Infine, quando si tratta di automatizzare i flussi di lavoro di protezione dei dati, il team che gestisce i rischi da parte di terzi può assumere un ruolo di guida. Oltre a semplificare l'onboarding di terze parti, l'automazione dei flussi di lavoro può contribuire a garantire una collaborazione continua tra i due team. Ad esempio, se una revisione automatizzata di terze parti indica che un determinato vendor potrebbe non disporre di un'adeguata protezione dei dati, il flusso di lavoro può essere impostato in modo tale che queste informazioni vengano automaticamente condivise con il team addetto alla privacy. Così facendo, il team è a conoscenza del potenziale rischio non appena viene identificato. 

In che modo OneTrust può essere d'aiuto?

La gestione della privacy di OneTrust può essere utilizzata insieme alla soluzione Third-Party Risk Management per creare una piattaforma unificata per la gestione della privacy e dei rischi da parte di terzi. Consentendo una collaborazione efficace tra i due team, la piattaforma OneTrust aiuta tutti i membri del team a ottenere le informazioni e gli approfondimenti di cui hanno bisogno per comprendere le vulnerabilità dell'organizzazione, adottare le misure necessarie per garantire la conformità a centinaia di normative internazionali sulla privacy e continuare a creare rapporti con i clienti basati sulla fiducia e sulla trasparenza.

Per scoprire come OneTrust può aiutare la tua organizzazione a gestire i rischi da parte di terzi, richiedi subito una demo individuale.

Altre risorse che potrebbero interessarti

GRC e garanzia di sicurezza

Navigare la conformità al NIS2 con OneTrust

Partecipa al nostro webinar il 24 ottobre alle 11:00 per approfondire i principali requisiti della Direttiva NIS2 e il suo impatto sul territorio italiano.

Scopri di più

Ricerche più frequenti

Risorse

Piattaforma

Azienda

Contattaci

Questioni relative alla privacy

Il nostro centro per la privacy consente di vedere facilmente come
raccogliamo e utilizziamo i tuoi dati.

La tua privacy

Quando raccogliamo i dati personali, ti informiamo sempre dei tuoi diritti e facciamo in modo che tu possa esercitarli facilmente. Ove possibile, ti consentiamo anche di gestire le tue preferenze sulla quantità di dati che scegli di condividere con noi o con i nostri partner.

© {{CURRENT_DATE}} OneTrust, LLC. Tutti i diritti riservati.

Webinar su richiesta in arrivo…

Le nostre policy

I tuoi diritti