Dal 25 maggio entra in Vigore il nuovo regolamento sulla Protezione dei dati (UE 2016/679) noto come GDPR (General Data Protection Regulation). Nell’ultimo periodo si sta riscontrando un notevole fattore disinformativo, che inquieta le realtà del nostro paese senza fornire informazioni valide e coerenti con quanto richiesto dalla norma. Il GDPR si applica a tutti i soggetti giuridici (imprese, associazioni, professionisti, enti) che utilizzano dati personali dei cittadini europei.
Per comprendere quanto tutti i soggetti giuridici siano fautori di un trattamento di dati personali basti pensare come esempi all’acquisizione di dati mediante form online, alla produzione della busta paga, all’acquisizione dei dati per un contratto di servizio, all’installazione di un sistema di videosorveglianza, all’utilizzo di lettore di badge e alla erogazione di un accesso wifi hotspot ai propri clienti. In caso di inosservanza delle regole si rischiano pesanti sanzioni amministrative (fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale).
Il GDPR non è un software, non è un hardware e non è una normativa relativa ai sistemi informatici. Il GDPR è una normativa di natura organizzativa e di processo sulla Protezione dei dati. Per essere conformi alla normativa è quindi necessario attuare processi organizzativi, documentali e operativi che siano personalizzati sul singolo trattamento dati effettuato. Il trattamento dati espletato mediante strumenti di natura informatica (server, computer, device mobile) richiede di valutare ed adeguare gli stessi. La norma richiede quindi di definire un’organizzazione sulla gestione del trattamento dati, definire il titolare, il responsabile e gli incaricati al trattamento. La nomina del DPO (Data Protection Officer) è obbligatoria solo per autorità e organismi pubblici e per soggetti che effettuano come attività principale trattamenti dati quali “monitoraggio regolare e sistematico su larga scala” (es. grandi centri di elaborazione di buste paga, imprese di sorveglianza, supermercati con tessera fedeltà) e trattamenti “su larga scala di dati particolari o giudiziari” (es. istituti medici, laboratori di analisi). La norma richiede quindi una definizione organizzativa del One Stop Shop del trattamento con relative nomine, e policy relative ai singoli trattamenti effettuati (con relativi DPIA).
In funzione delle dimensioni aziendali e del tipo di trattamento effettuato è possibile decidere se implementare il registro del trattamento. Non opzionale è invece il registro del Data Breach (registro delle violazioni) che richiede quindi una crescita culturale e formativa degli attori del GDPR sulla sicurezza delle informazioni. Per tale motivo è importante minimizzare il rischio delle infrastrutture IT (mediante attività di Audit specialistico finalizzate al Vulnerability Assestment che coinvolge organizzazione e adeguamento degli Asset informatici aziendali, Disaster Recovery Plan e Penetration Testing).
Tale panoramica mostra come per l’adeguamento GDPR non sia sufficiente produrre documenti preconfezionati (i trattamenti variano da azienda in azienda), o acquistare un software o un hardware; è, invece, necessario un percorso formativo e di awareness (guidato dai principi della privacy by design e by default) degli attori aziendali al fine di strutturare l’organizzazione in conformità con il regolamento, per una crescita e un miglioramento qualitativo della propria realtà.
La nostra società è specializzata nei servizi di consulenza avanzata e di adeguamento aziendale relativo alla normativa GDPR.