01/09/2017

GDPR cosa fare: le 5 fasi del cambiamento, scarica la guida

Privacy, aumenta la vulnerabilità. Ecco come la UE è corsa ai ripari: GDPR, come adeguarsi.

Lo sviluppo di una florida economia fondata sui dati sfrutta le funzionalità tecnologiche per la loro raccolta continua e massiva, la trasmissione istantanea ed il riutilizzo. Questo ci espone a nuovi rischi poiché i dati rappresentano la proiezione digitale di persone e imprese, aumenta quindi in modo esponenziale anche la nostra vulnerabilità.

La norma: GDPR, cos'è?

Il Regolamento Generale sulla Protezione dei Dati è la nuova normativa europea che armonizza e supera le normative attualmente vigenti negli Stati facenti parte della Comunità Europea, punta a rafforzare e proteggere da minacce presenti e future i diritti alla protezione dei dati sensibili dei propri cittadini, dentro e fuori dall'Unione Europea.

Per farlo, il GDPR introduce nuovi obblighi e nuove sanzioni che impongono alle aziende l'adozione di specifiche misure per la protezione dei dati personali.

GDPR, scarica qui la guida PDF

Questo impone alle aziende l'urgenza di indirizzare correttamente i propri investimenti verso adeguati strumenti informatici e procedurali al fine di ridurre il rischio di pesanti sanzioni pecuniarie e integrarli alle nuove polizze assicurative per la copertura degli eventuali danni propri e a terzi.

C'è tempo fino al 25 maggio 2018, utilizza il tempo a disposizione per governare al meglio il processo che conduce alla conformità. Cogli l'opportunità di adottare procedure e tecnologie che oltre a garantire il rispetto della normativa accrescano il livello di sicurezza e la continuità operativa.

GDPR 2018, ecco cosa cambia rispetto al passato

La principale differenza, rispetto al passato, è che gestire la "privacy" all'interno dell'organizzazione non potrà più essere un semplice adempimento, a volte più formale che sostanziale, ai singoli obblighi normativi.

Implicherà di impostare un processo, analizzare i rischi e gestire, nel tempo, con continuità e nel fermo rispetto dei diritti di ogni individuo, i dati personali che si trattano.

La normativa prevede una multa fino a 20 milioni di euro o il 4% del fatturato annuo globale per ogni caso di violazione nei seguenti casi:

  • Per chi non si adegua alla nuova normativa entro il termine previsto dalla Comunità Europea;
  • Nei casi in cui, nonostante l'adempimento, emergono carenze regolamentari a seguito di una violazione dei dati.

Le 5 fasi fondamentali per il cambiamento

Le attività fondamentali per preparare la tua azienda a fronteggiare il cambiamento sono:

  • Comprendere come i nuovi obblighi previsti da GDPR impatteranno sulle attività.
  • Determinare quali sono e dove si trovano i dati sensibili e come sono messi in sicurezza.
  • Nominare un Data Protection Officer, dove necessario.
  • Rivedere tutte le informative sulla privacy.
  • Rivedere i processi di accesso ai dati, rettifica e cancellazione richieste dalle persone interessate.

Come mettere in atto questo processo? Ecco cinque punti da cui partire.

  1. Consapevolezza. È opportuno conoscere tutte le vulnerabilità dell'azienda, avviando un'indagine approfondita di tutti i sistemi interni e/o esterni per avere piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità.
  2. Mappatura dei dati. È necessaria per analizzare la portabilità dei dati, i diritti di accesso e di cancellazione. Per creare una buona mappatura è necessario scoprire e classificare i dati personali, le prime informazioni da proteggere. La conoscenza dei dati è alla base di GDPR: "You cannot protect what you don't know about."
  3. Monitoraggio. È fondamentale considerare il diritto delle persone di tracciare i dati di accesso, modificarli, cancellarli o trasferirli. Gli individui possono richiedere alle organizzazioni che possiedono dati sul loro conto, il diritto di rettificare, cancellare o trasferire i dati. Perché è importante: le multe più alte di GDPR sono per la violazione dei diritti della persona interessata, come per la mancata risposta o la fornitura di informazioni adeguate. L'interessato ha inoltre il diritto al risarcimento monetario dei danni. Le aziende hanno quindi bisogno di strumenti per dimostrare che le richieste vengono processate in modo tempestivo.
  4. Sicurezza. La messa in sicurezza dei dati personali non potrà più essere presa alla leggera: rispetto alla normativa italiana prevista dal Garante della Privacy, il testo europeo innalza significativamente il livello di protezione dei dati richiesto. Per la norma approvata dalla Comunità Europea "occorre attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato". Cosa si intende? Il testo pone l'attenzione su "i rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati." Si introduce inoltre il principio di Data Protection By Design che obbligherà da un lato a verificare e garantire il corretto livello di protezione, dall'altro l'assenza di vulnerabilità per i sistemi e per le applicazioni che tratteranno i dati sensibili già in fase di progettazione.
  5. Notifica. Sarà importante segnalare le violazioni in modo tempestivo. Nel caso di una violazione dei dati personali il responsabile del trattamento, senza indebito ritardo (entro e non oltre 72 ore dopo l'avvenimento), deve comunicare tale violazione all'autorità di vigilanza. In sostanza "il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio." Questa documentazione consentirà all'autorità garante di verificare il rispetto della norma da parte del titolare del trattamento dei dati.
Scarica qui la guida PDF al GDPR che abbiamo realizzato in collaborazione con Computer Gross.

Qual è il grado di consapevolezza riguardo al GDPR?

Secondo lo studio ‘Risk Value 2017’ (Ntt Security) poco meno della metà dei dirigenti aziendali nel mondo ritiene che la conformità alla nuova norma sia importante per la propria azienda. Il 20% (!) degli intervistati ammette di non saperne niente sull’adeguamento, mentre al di fuori dell’Europa il livello di consapevolezza è perfino inferiore.

Se hai bisogno di una consulenza relativa all’adeguamento tecnico e legale al GDPR contattaci subito.

* Tutti i campi sono obbligatori
Informativa ai sensi dell'art.13 del D.Lgs. n. 196/2003
Clicca qui per leggere l'informativa e le finalità del servizio.


Autorizzo al trattamento dei miei dati personali. (n.b. qualora non venga fornito il consenso non si potrà inviare la richiesta). Titolare e responsabile dei dati raccolti è PMC International Service srl

captcha