GDPR: 4 passi per adeguarsi al nuovo Regolamento Europeo Privacy

La scadenza del 25 maggio è oramai molto vicina. Le aziende dovrebbero avere già individuato procedure e processi. Tuttavia molte realtà sono in notevole ritardo e non sono ancora pronte per affrontare questo cambiamento; soprattutto potrebbero non avere le idee chiare. 

La prima cosa che è importante avere chiara è che nel nuovo Regolamento GDPR l'oggetto della regolamentazione è il Dato Personale.  Non solo quindi il "Dato Sensibile “ma qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […]”. 

La seconda cosa importante da sapere è che le sanzioni previste sono veramente elevate: possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato.

Tuutavia vogliamo aiutarvi ad approcciare l'adeguamento alla nuova normativa non solo perchè è un obbligo, ma anche e soprattutto perchè una grande opportunità, da due punti di vista:

1) è l'occasione per migliorare protezione e gestione dei propri sistemi e dei dati in essi contenuti: il vero valore di una azienda;

2) è l'occasione per migliorare le performances e la produttività aziendali: una opportunità per distinguersi in un mercato sempre più competitivo.

Il nostro compito sarà, da qui in avanti, di aiutare piccole aziende e studi professionali a cogliere una opportunità unica, mettendo a disposizione competenze e strumenti per affrontare con serenità questo importante cambiamento. 

Iniziamo con un focus su cosa fare in concreto, 4 passaggi per mettersi a norma. Tutto riassunto in un'infografica che potrai scaricare qui di fianco. Si tratta di una una panoramica completa delle principali problematiche che le imprese dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018; un valido aiuto per avere un quadro generale delle aree di intervento, una guida su cosa fare per essere conformi alla normativa.

Vediamo insieme le 4 fasi.

1. Censire e mappare

Innanzitutto procedi con identificare i dati personali gestiti dalla tua organizzazione analizzando le fonti da cui derivano (attività di marketing, attività di vendita, ecc) e le basi dati e gli archivi documentali in cui confluiscono.
Vanno poi specificate le finalità del trattamento - il periodo di conservazione dei dati (o i criteri corrispondenti) - eventuali logiche decisionali automatiche basate sui dati raccolti - l’eventuale trasferimento dei dati in Paesi terzi (extra EU).
Infine vanno mappati i processi di trattamento a cui vengono sottoposti: attività di trattamento (raccolta, elaborazione, archiviazione, cancellazione), i ruoli e gli attori coinvolti, sia interni che esterni (responsabile, titolare, incaricato, DPO, ecc), le applicazioni utilizzate, gli archivi, i trattamenti esterni.

In questa fase andrà predisposto il registro dei trattamenti che, per ciascun trattamento, dovrà contenere i seguenti contenuti minimi: a) nome e dati di contatto del titolare del trattamento e del responsabile della protezione dei dati; b) categorie di interessati e categorie di dati personali; c) finalità del trattamento; d) categorie di destinatari a cui i dati personali sono comunicati; e)eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; e) termini previsti per la cancellazione dei dati (oppure i criteri con cui sono stabiliti tali termini); f) descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1.

Andrà valutata anche la necessità o meno di nominare un DPO - Data Protecion Officer (di questa figura ci siamo già occupati ma sarà oggetto di trattamento specifico).

2. Adeguare e proteggere

Nella seconda fase andranno predisposte le procedure e gli strumenti informatici per gestire i diritti dei soggetti del trattamento: a) informazione chiara b) accesso ai dati c) diritto all'oblio e alla cancellazione d) rettifica dei dati e) opposizione al trattamento f) limitazione del trattamento g) diritto alla portabilità dei dati.

Sulla base delle procedure e dei diritti va effettuata una valutazione formale dei rischi e degli impatti (DPIA – Data Protection Impact Assessment); queta non è sempre obbligatoria ma può essere comunque opportuna. Quali sono i rischi da tenere in considerazione: distruzione, perdita, alterazione, accesso non autorizzato, – divulgazione non autorizzata, sottrazione, in modo accidentale o illegale, relativamente ai dati personali trasmessi, conservati o trattati.

In conseguenza delle valutazioni fatte andranno adottate le misure di sicurezza opportune. Il GDPR non identifica misure minime ma si tratterà di scegliere misure di sicurezza ragionevoli per il contesto aziendale (dimensioni, risorse, competenze, budget).
In concreto le misure da adottare hanno a che fare con: 

  • Controllo accessi: autenticazione e autorizzazione
  • Protezione dei dati: cifratura e pseudonimizzazione 
  • Disponibilità dei dati: resilienza e disaster recovery

3. Monitorare e reagire

Per affrontare eventuali violazioni della privacy, sia accidentali che intenzionali è necessario dotarsi di strumenti che consentano di monitorare di continuo la sicurezza, generare alert in caso di violazione per poter reagire tempestivamente. In seguito a violazioni (DATA BREACH) andranno gestite le comunicazioni all'autorità (Garante) e, in caso di rischio, anche agli interessati. Andranno adottate quindi le contromisure opportune di gestione e di prevenzione di future violazioni (implementazione dei sistemi di sicurezza).

4. Verificare ed aggiornare 

Nel corso del tempo le tipologie di dati cambiano ed aumentano i trattamenti necessari, i sistemi informativi informativi delle aziende si evolvono e nascono nuove minacce e nuove tecniche di attacco alla sicurezza informatica. Per questi motivi il GDPR non va visto come un progetto una-tantum, ma come un processo. Nel corso del temo e’ necessario predisporre modalità di revisione ed aggiornamento di procedure, soluzioni tecniche e documentazione per il trattamento corretto e sicuro dei dati personali. 
E' tutto quello che ha a che fare con i
 principi di Privacy by Design e Privacy by Default.

Tutto ciò considerato potrebbe non apparire chiaro dove si nasconde l'opportunità di cui parlavamo sopra: tuttavia il GDPR può essere l'occasione per migliorare il rapporto coi clienti, trasmettendo sicurezza ed efficienza comunicando, ad esempio, in modo particolarmente chiaro e trasparente le finalità dei trattamenti (evidenziando i benefici per gli interessati), le procedure di sicurezza a cui sono sottoposti i loro dati, rendendo particolarmante agevole agli interessati l'esercizio dei loro diritti anche con procedure automatiche, o self service, tutto questo con significativi impatti positivi sulla produttività aziendale.

L'area "Regolamento Europeo Privacy" mette a tua disposizione una serie di approfondimenti su tutti gli aspetti della normativa per accompagnarti, con una serie di articoli, guide ed infografiche, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea il nuovo Regolamento.

Non perdere gli aggiornamenti: Iscriviti alla Newsletter dedicata!

ISCRIVITI ALLA NEWLETTER DEDICATA

Vuoi rivolgere ai nostri esperti le tue domande o esporre i tuoi dubbi? 
Inviaci la tua domanda cliccando sul bottone qui sotto: ti risponderemo!

RICHIEDI MAGGIORI INFORMAZIONI

Oppure inserisci un commento e condividi le tue riflessioni e le tue domande con gli altri utenti del blog.

Inserisci un nuovo commento

Iscriviti alla newsletter 

  Dichiaro di aver letto l’informativa privacy e, consapevole del fatto che la manifestazione di consenso è obbligatoria per l’invio dei dati tramite il form e per l’accesso ai servizi, ai fini di dimostrazione e di prova, acconsento al trattamento dei dati personali da me inseriti nel form per le finalità ivi specificate.

Categorie News

Seguici su Facebook

Non perdere neanche una notizia: clicca su mi piace!

Galleria video

Tags

Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy

Responsabile Redazione: Luigi Duraccio

Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 SrlBieffe