Best Practice

La compliance al GDPR, onere ma opportunità

- di Mattia Minervini

Quello del GDPR è un tema molto delicato per l’integrità e la reputazione delle aziende,

in particolare, per organizzazioni di una certa dimensione o appartenenti a determinati settori (vedi Healthcare e comunque tutte le realtà B2C…). 

Definizione ed Acronimi
Definizioni Descrizione
GDPR General Data Protection Regulation
DPO Data Protection Officer; una delle figure introdotte dal GDPR
DATA BREACH Evento di violazione di dati personali

Il 25 maggio (data ultima per completare l’adeguamento) è appena passato, e in Italia l’argomento è stato affrontato con leggerezza, ritardo ed una preoccupante superficialità.

Vedremo le principali novità introdotte dal regolamento, una sintesi concreta dei passi per essere compliant… ma soprattutto quali sono le opportunità che dobbiamo saper trovare in questo contesto.

Di cosa si occupa il GDPR

Il GDPR sostituisce tutte le normative italiane in materia di privacy, modificando l’intero approccio al trattamento dei dati da parte di imprese ed enti pubblici. Il nuovo regolamento europeo mira a tutelare i principi generali del “rispetto della vita privata e familiare” di ogni persona (art.7 Carta dei diritti fondamentali dell’Unione Europea) e della “protezione dei dati personali” (art.8 Carta dei diritti fondamentali dell’Unione Europea), diritti che le normative nazionali, basate sulla vecchia Direttiva 95/46/CE, non sono più in condizione di garantire a fronte dell’aumento esponenziale delle attività di raccolta e condivisione dei dati di soggetti privati ed istituzioni, della rivoluzione tecnologica, dell’utilizzo dei big data e dei trattamenti automatizzati.

Il nuovo Regolamento europeo sulla privacy si pone dunque il fine di assicurare ai dati personali dei cittadini dell’UE una protezione omogenea in occasione di trattamento totalmente o parzialmente automatizzato, ovunque lo stesso si verifichi.

Ne conseguono nuovi obblighi per il Titolare ed il Responsabile, chiamati a modificare  totalmente l’approccio alla governance dei sistemi di gestione delle informazioni (trattamento).

Cosa va fatto

Trattandosi di una tematica molto articolata, ed inoltre di prima applicazione, la questione va sicuramente affrontata da un team di competenze che spaziano dall’ambito legale a quello tecnologico, da quello H&R a quello dell’ organizzazione aziendale.

Un modello funzionale efficace per il rispetto del G.D.P.R presuppone la conoscenza e la consapevolezza di ogni entità, processo, servizio ed utente dell’intero sistema informativo di riferimento; dunque obiettivo iniziale e basilare diviene il dominio di tutte le informazioni relative alle persone fisiche (sensibili o meno) che circolano sui sistemi aziendali e, successivamente, di come esse vengano trattate, custodite, monitorate e protette. 

Per quanto riguarda le aziende che si occupano di B2B, che quindi non hanno rapporti quotidiani con le persone fisiche, spesso tutto si riduce ai dati del PERSONALE e ai dati relativi ai processi di SELEZIONI DI CANDIDATI; diversamente invece il comparto CLIENTI ha la primaria importanza di tutto il processo di adeguamento. Ovviamente parliamo di dati sia in formato digitale che cartaceo!

Infrastrutture informatiche

Il GDPR ha il fine di tutelare le informazioni personali, dunque vanno considerate tutte le occorrenze di una informazione all’interno di un sistema informativo e tutte le misure tecniche volte a:

- evitare o minimizzare la loro perdita o fuoriuscita dai confini aziendali per colpa o dolo; 
- gestire e conservare solo quello di cui si ha bisogno e per il tempo strettamente necessario;
- monitorare ed avere coscienza di quando una violazione possa essere avvenuta.


Il Garante utilizza una formula generale per indicare che devono essere attuate (in maniera continuativa e documentabile) tutte le misure idonee a garantire un livello soddisfacente di sicurezza delle informazioni;  siamo di fronte ad un approccio diverso rispetto al passato, dove invece venivano indicate in elenco le cosiddette MISURE MINIME, che bastava dimostrare di aver attuato.

Ora è demandata alle aziende anche la responsabilità di ritenere se le misure implementate siano sufficienti.

Come temi si spazia quindi dalla difesa della rete mediante firewall, ai diritti di accesso dei file condivisi, all’antivirus di endpoint...

E, visto che ci siamo, allo stesso tempo un’opportunità…

Dovendo adempiere al GDPR, onde evitare problemi futuri dovuti ad ispezioni e pretese avanzate da chi ritiene violati i propri diritti,  perché  non cogliere l'occasione per effettuare UN CHECK UP COMPLETO delle procedure aziendali e delle MISURE DI SICUREZZA ADOTTATE?

Perché non inserire in questo contesto un impianto documentale efficiente, e sfruttare il momento per introdurre in azienda quella tecnologia tanto utile e finalmente abbordabile che risolverebbe tanti problemi?

Quale momento più propizio per sensibilizzare il personale ad una maggiore attenzione nell’utilizzo degli strumenti informatici o istruirlo per usare il nuovo applicativo non solo al 20% delle sue potenzialità?

Cambiare approccio e mentalità

Il GDPR sembra ai più il solito adempimento inutile e dispersivo finalizzato solo a creare confusione.

Possiamo ritenere vere tre riflessioni:

1) La materia è così articolata ed inedita, e il nostro grado di sensibilità così basso, da rendere difficilmente metabolizzabili ed attuabili i concetti salienti della normativa, a meno di un notevole sforzo aziendale in termini di risorse e visione strategica.
2) Le aziende sono spesso più concentrate su tematiche inerenti alla produttività o le economie, piuttosto che la reputation o la security.
3) Fornitori e consulenti, che non è detto abbiano digerito meglio l’argomento e abbiano allestito una corrispondente proposta commerciale efficace, danno l’impressione di cavalcare l’onda facendo spesso terrorismo o generando ulteriore dispendio di energie a danno del Cliente finale.


Se però ci soffermiamo sul perché sia stato stilato questo regolamento (ossia la complessità di un mondo sempre più digital con la crescita preoccupante di fenomeni come il furto d’identità, la sottrazione di informazioni delicate, l’estorsione ed il ricatto basati su truffe elettroniche come il ransomware...), dovremo realizzare che non è più possibile usare “pippo” come password,  avere un’azienda sprovvista di firewall a difesa del perimetro, permettersi di perdere un notebook senza crittografia dei dati (e quindi dare a qualche malintenzionato le copie dei documenti d’identità dei propri dipendenti o clienti) e comunque gestire con superficialità gli aspetti legati ai sistemi informatici ed informativi.

Nel breve futuro il mercato discriminerà in maniera dolorosa (anzi lo sta già facendo) tra chi ignora questi concetti e chi invece persegue alcuni standard qualitativi come la sicurezza delle informazioni.

Utilizziamo il GDPR come VOLANO per la nostra ristrutturazione aziendale!

Appendice G.D.P.R.
Di seguito le principali novità introdotte dal G.D.P.R. :
1. Principio di responsabilizzazione(cd. «accountability»)
Responsabilizzazione del titolare del trattamento , che viene ritenuto informato e competente rispetto a tutti i principi applicabili (correttezza, trasparenza…) ed  in grado di comprovarlo. 
2. Privacy by design e by default
Il trattamento è impostato e configurato sin dall’inizio attuando le misure tecniche ed organizzative più idonee e funzionali al rispetto dei requisiti (By Design) e per impostazione predefinita vengono trattati solo i dati personali strettamente necessari alla finalità del trattamento (By Default).
3. Informativa più ampia e dettagliata
I contenuti da indicare sono elencati tassativamente, va indicato un eventuale trasferimento in paesi terzi, i dati di contatto del RPD \ DPO…
4. Nuovi obblighi e responsabilità per il Titolare del trattamento e per il Responsabile del Trattamento («risk assessment»)
Obblighi di compliance organizzativa, da implementarsi sulla base di un principio di “risk assesment” continuo che prevede ad esempio l’aggiornamento periodico delle misure adottate, o l’adesione a codici di condotta.
5. Nuove modalità di prestazione del Consenso
Non necessariamente solo scritto, ma inequivocabile e dimostrabile… libero , specifico ed informato.
6. Il Registro delle attività di trattamento
Obbligatorio per aziende con più di 250 dipendenti, o aziende che trattano dati particolari.
a) Nome e dati di contatto del Titolare, contitolare, rappresentante del Titolare e DPO; b)Finalità del trattamento; c) Descrizione delle categorie di interessati e categorie di dati personali; d) Ambito di comunicazione, anche verso Paesi  terzi; e) termini ultimi per la cancellazione delle diverse categorie dei dati; f) Descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
7. Designazione del Responsabile della Protezione dei Dati (c.d. Data Protection Officer)
Figura autonoma ed indipendente che deve operare in assenza di conflitto di interessi per informare e fornire consulenza al titolare, al responsabile ed ai dipendenti, nonché vigilare sull’osservanza del GDPR, fornire pareri, cooperare con l’Autorità di controllo…
8. Nuove Misure di sicurezza (pseudonimizzazione, cifratura, ecc.)
Metodologie e tecniche per la limitazione o l’eliminazione dei rischi connessi al trattamento.
9. Valutazione D'impatto sulla protezione dei dati («privacy impact assessment» o «PIA») 
Valutazione preliminare sui rischi connessi al trattamento che il Titolare deve fare in alcuni casi, condividendo con l’Autorità di controllo tutte le informazioni relative a trattamento, tecniche e rischi rilevati.
10. Notifica delle violazioni di dati personali («Data breach notification»).
Consapevolezza della violazione, valutazione del rischio, comunicazione alle Autorità in tempi prestabiliti ed in alcuni casi anche all’interessato.

 

Aggiungi un commento
RadEditor - HTML WYSIWYG Editor. MS Word-like content editing experience thanks to a rich set of formatting tools, dropdowns, dialogs, system modules and built-in spell-check.
RadEditor's components - toolbar, content area, modes and modules
   
Toolbar's wrapper  
Content area wrapper
RadEditor's bottom area: Design, Html and Preview modes, Statistics module and resize handle.
It contains RadEditor's Modes/views (HTML, Design and Preview), Statistics and Resizer
Editor Mode buttonsStatistics moduleEditor resizer
 
 
RadEditor's Modules - special tools used to provide extra information such as Tag Inspector, Real Time HTML Viewer, Tag Properties and other.
   
Antispam
 

Scarica l'app Noleggia 1 Manager
Effettua il download per il tuo smartphone
Anche questi imprenditori avevano bisogno delle stesse risposte e le hanno avute:
Best Practice
 Diritto all'oblìo
X
Responsabile Privacy – DPO Marco Travaglini,
nato a Rieti il 14.10.1977, residente in Roma, via Cutilia 47
Per informazioni e richieste privacy:
Tel  +39 06 92 95 90 88
Mail info@mamaindustry.com
Copyright 2017 ® - MAMA Industry P.IVA 14080391007
Designed by MamaIndustry - Powered by Giap Informatica