GDPR: 4 passi per adeguarsi al nuovo Regolamento Europeo Privacy

La scadenza del 25 maggio è oramai molto vicina. Le aziende dovrebbero avere già individuato procedure e processi. Tuttavia molte realtà sono in notevole ritardo e non sono ancora pronte per affrontare questo cambiamento; soprattutto potrebbero non avere le idee chiare.

La prima cosa che è importante avere chiara è che nel nuovo Regolamento GDPR l'oggetto della regolamentazione è il Dato Personale.  Non solo quindi il "Dato Sensibile “ma qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […]”, quindi e-mail, telefono cellulare, indirizzo, codice fiscale ecc. In tutti i sistemi informatici aziendali  e in molti documenti sono perciò presenti dati personali in grande quantità, sotto forma di indirizzo, nome cognome, codice fiscale ecc.

La seconda cosa importante da sapere è che le sanzioni previste sono veramente elevate: possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato.

Tuttavia vogliamo aiutarvi ad approcciare l'adeguamento alla nuova normativa non solo perchè è un obbligo, ma anche e soprattutto perchè una grande opportunità, da due punti di vista:

1) è l'occasione per migliorare protezione e gestione dei propri sistemi e dei dati in essi contenuti: il vero valore di una azienda;

2) è l'occasione per migliorare le performances e la produttività aziendali: una opportunità per distinguersi in un mercato sempre più competitivo.

Il nostro compito sarà, da qui in avanti, di aiutare piccole aziende e studi professionali a cogliere una opportunità unica, mettendo a disposizione competenze e strumenti per affrontare con serenità questo importante cambiamento.

Iniziamo con un focus su cosa fare in concreto, 4 passaggi per mettersi a norma.

Tutto riassunto in un'infografica che potrai scaricare qui di fianco. 

1. Censire e mappare

Innanzitutto procedi con identificare i dati personali gestiti dalla tua organizzazione analizzando le fonti da cui derivano (attività di marketing, attività di vendita, ecc) e le basi dati e gli archivi documentali in cui confluiscono.

Vanno poi specificate le finalità del trattamento - il periodo di conservazione dei dati (o i criteri corrispondenti) - eventuali logiche decisionali automatiche basate sui dati raccolti - l’eventuale trasferimento dei dati in Paesi terzi (extra EU).

Infine vanno mappati i processi di trattamento a cui vengono sottoposti: attività di trattamento (raccolta, elaborazione, archiviazione, cancellazione), i ruoli e gli attori coinvolti, sia interni che esterni (responsabile, titolare, incaricato, DPO, ecc), le applicazioni utilizzate, gli archivi, i trattamenti esterni.

In questa fase andrà predisposto il registro dei trattamenti che, per ciascun trattamento, dovrà contenere i seguenti contenuti minimi: a) nome e dati di contatto del titolare del trattamento e del responsabile della protezione dei dati; b) categorie di interessati e categorie di dati personali; c) finalità del trattamento; d) categorie di destinatari a cui i dati personali sono comunicati; e)eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; e) termini previsti per la cancellazione dei dati (oppure i criteri con cui sono stabiliti tali termini); f) descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1.

Andrà valutata anche la necessità o meno di nominare un DPO - Data Protecion Officer (di questa figura ci siamo già occupati ma sarà oggetto di trattamento specifico).

 

2. Adeguare e proteggere

Nella seconda fase andranno predisposte le procedure e gli strumenti informatici per gestire i diritti dei soggetti del trattamento: a) informazione chiara b) accesso ai dati c) diritto all'oblio e alla cancellazione d) rettifica dei dati e) opposizione al trattamento f) limitazione del trattamento g) diritto alla portabilità dei dati.

Sulla base delle procedure e dei diritti va effettuata una valutazione formale dei rischi e degli impatti (DPIA – Data Protection Impact Assessment); queta non è sempre obbligatoria ma può essere comunque opportuna. Quali sono i rischi da tenere in considerazione: distruzione, perdita, alterazione, accesso non autorizzato, – divulgazione non autorizzata, sottrazione, in modo accidentale o illegale, relativamente ai dati personali trasmessi, conservati o trattati.

In conseguenza delle valutazioni fatte andranno adottate le misure di sicurezza opportune. Il GDPR non identifica misure minime ma si tratterà di scegliere misure di sicurezza ragionevoli per il contesto aziendale (dimensioni, risorse, competenze, budget).

In concreto le misure da adottare hanno a che fare con:

    Controllo accessi: autenticazione e autorizzazione

    Protezione dei dati: cifratura e pseudonimizzazione

    Disponibilità dei dati: resilienza e disaster recovery

 

3. Monitorare e reagire

Per affrontare eventuali violazioni della privacy, sia accidentali che intenzionali è necessario dotarsi di strumenti che consentano di monitorare di continuo la sicurezza, generare alert in caso di violazione per poter reagire tempestivamente. In seguito a violazioni (DATA BREACH) andranno gestite le comunicazioni all'autorità (Garante) e, in caso di rischio, anche agli interessati. Andranno adottate quindi le contromisure opportune di gestione e di prevenzione di future violazioni (implementazione dei sistemi di sicurezza).

 

4. Verificare ed aggiornare

Nel corso del tempo le tipologie di dati cambiano ed aumentano i trattamenti necessari, i sistemi informativi informativi delle aziende si evolvono e nascono nuove minacce e nuove tecniche di attacco alla sicurezza informatica. Per questi motivi il GDPR non va visto come un progetto una-tantum, ma come un processo. Nel corso del temo e’ necessario predisporre modalità di revisione ed aggiornamento di procedure, soluzioni tecniche e documentazione per il trattamento corretto e sicuro dei dati personali.

E' tutto quello che ha a che fare con i principi di Privacy by Design e Privacy by Default.

 

Tutto ciò considerato potrebbe non apparire chiaro dove si nasconde l'opportunità di cui parlavamo sopra: tuttavia il GDPR può essere l'occasione per migliorare il rapporto coi clienti, trasmettendo sicurezza ed efficienza comunicando, ad esempio, in modo particolarmente chiaro e trasparente le finalità dei trattamenti (evidenziando i benefici per gli interessati), le procedure di sicurezza a cui sono sottoposti i loro dati, rendendo particolarmante agevole agli interessati l'esercizio dei loro diritti anche con procedure automatiche, o self service, tutto questo con significativi impatti positivi sulla produttività aziendale.

 

 

 

in collaborazione con: