State trascurando l’argomento GDPR o avete appena iniziato a porgli attenzione? Allora questa pagina fa al caso vostro… La maggior parte delle aziende, nonostante l’importanza, non sanno ancora cosa sia il nuovo Regolamento Europeo sulla Privacy o, se lo sanno, non stanno facendo nulla per adeguarsi. L’argomento è complicato, e la prima domanda che nasce è se sia necessario rivolgersi all’esterno o se si possa gestire l’adeguamento alla normativa con le proprie risorse. Se siete in questa fase, se state raccogliendo le informazioni e non sapete bene come agire, ecco alcuni chiarimenti e indicazioni concrete, per aiutarvi a capire da dove partire per gestire passo dopo passo l’allineamento al GDPR senza farsi prendere dal panico e dal timore delle ormai famigerate sanzioni. Che cos’è il GDPR? È il nuovo Regolamento Europeo sulla Privacy per la protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il GDPR (General Data Protection Regulation-Regolamento UE 2016/679) prenderà il posto del codice per la protezione dei dati personali (comunemente chiamato codice della privacy), entrato in vigore nel 2004 con il Decreto legislativo 30 giugno 2003, n. 196. Tra le motivazioni principali che hanno mosso l’Unione Europea verso la progettazione di questa nuova normativa ci sono: • l’aumento costante della mole dei dati trattati (dovuto a sua volta all’uso di nuove tecnologie) • l’incremento del cybercrimine • la necessità di uniformare un quadro normativo estremamente disomogeneo e frammentato Quali sono i rischi da cui è tutelata l’azienda che si è adeguata al GDPR? Un’azienda totalmente allineata al nuovo Regolamento Europeo sulla Privacy, è tutelata da: • distruzione; • perdita; • modifica; • divulgazione non autorizzata o accesso, accidentale o illegale, di e a dati personali trasmessi, conservati o comunque trattati dalla stessa azienda. Come può un’azienda capire se è effettivamente allineata al GDPR? Solo strutturando attività di assessment, ovvero di valutazione dello stato della privacy attraverso il data mapping, un processo di mappatura dei dati rilevanti per l’adeguamento al nuovo regolamento europeo sulla privacy (dati comuni, identificativi, sensibili, giudiziari, che sono i dati da tutelare evidenziati dalla normativa). Per fare questo, in quasi tutti i casi, necessita di consulenza specializzata. In cosa consiste l’attività di consulenza? Il consulente esterno, dopo aver appreso le caratteristiche generali dell’azienda (settore, mercato, dimensioni, dipendenti), si occuperà di capire, attraverso documentazione fornitagli (se esistente) e con interviste dirette all’organizzazione o a terzi, • se qualcuno (interno o esterno all’azienda) segue già la materia della privacy, in che modo e se esiste della documentazione al riguardo; • che dati acquisisce l’organizzazione sia dall’esterno che dall’interno (dipendenti), che caratteristiche hanno questi dati (aggregati-disaggregati-parzialmente aggregati), dove si trovano e chi li gestisce (internamente, terzi, entrambe); • se è necessario un DPO, Data Protection Officer (obbligatorio in caso di autorità e organismi pubblici, se vengono fatti trattamenti su larga scala o monitoraggi regolari e sistematici). Una volta terminato l’assessment, cosa fa il consulente? Gli step sono: • elaborazione dei risultati in base a tutte le informazioni di cui è venuto in possesso; • definizione del grado di conformità dell’azienda soggetta ad assessment al GDPR; • proposta di investimenti nelle tecnologie utili all’allineamento e indicazioni legali. Il consulente si esprimerà sull’adeguatezza della gestione dei dati e su quanto l’azienda sia preparata per non incorrere in sanzioni amministrative o penali. Il GDPR dà delle misure minime a cui bisogna adeguarsi? No! Il nuovo regolamento europeo sulla privacy dà solo misure consigliate, non dà riferimenti minimi (è una sfida!). Ogni azienda deve stabilire il proprio livello di adeguatezza, per cui è, in quasi tutti i casi, necessario un consulente esterno. Non sono infatti previste delle certificazioni che attestino la conformità. Se l’organizzazione decide di trascurare gli aspetti problematici emersi? Rischia, soprattutto in termini economici con elevate sanzioni. I controlli avverranno: • in caso di danno, perdita o furto di dati, subito dall’organizzazione; • indipendentemente da qualsiasi accadimento citato. Quanto dureranno i controlli dopo il 25 maggio 2018? I controlli non sono definiti in un arco temporale, ma, dall’entrata in vigore del nuovo regolamento europeo sulla privacy, le autorità potranno sempre eseguire controlli e verifiche periodiche all’interno delle aziende. Come può l’organizzazione sentirsi sicura in caso di controlli delle autorità? Con costanti revisioni dei propri sistemi informativi: l’azienda deve sempre essere aggiornata in base alla propria evoluzione per essere “a norma” e in caso di data breach (violazione di dati), deve saper dimostrare di aver adottato le misure adeguate di protezione dei dati personali per prevenirlo. Il tutto implica la produzione di una serie di documenti, periodicamente aggiornati, che corrispondono alle procedure effettivamente implementate. Infatti, con il nuovo Regolamento Europeo, la gestione dei dati personali non è più solo un adempimento, ma diventa un processo aziendale che incide sull’organizzazione delle imprese! Maggio è vicino, Vorresti un nostro parere su come affrontare questo argomento? Scrivi a: info@gecomp.it Avvalersi dalla consulenza per diventare autonomi nella gestione dei dati.
GECOMP di Massimiliano Zenari Via della contea, 38 - 37029 - San Pietro in Cariano (VR) P.Iva: IT 04263510234 Privacy policy sito © 2018