GDPR

Da diversi mesi si parla di GDPR, spesso senza entrare nel merito ma semplicemente rimarcando i pericoli, in termini di sanzioni, per le Aziende che non rispetteranno le nuove norme.

Insomma il ritornello che sentiamo spesso è:

Cara Azienda mettiti in regola altrimenti saranno multe salate, addirittura fino al 4% del Fatturato annuo…

Il rispetto del GDPR (ed i soldi che le aziende dovranno spendere per adeguarsi) sembra essere diventato la nuova “gallina dalle uova d’oro” per tutta una serie di commerciali e di fornitori che pensano sia sufficiente presentarsi dai Clienti con un pacchettino ben confezionato.

In questo clima di totale confusione mi è già successo di ricevere questa risposta:

GDPR ? : grazie, ma non mi serve!

In questo post vorrei chiarire e semplificare la questione, oltre a suggerire alcuni passi concreti per affrontare la spinosa materia GDPR: si tratta di una grande opportunità per mettere in sicurezza la tua azienda e renderla più competitiva sul mercato!

Ma cos’è il GDPR?

25 Maggio 2018.

Non sarà un giorno qualunque: è l’ultima scadenza per adeguarsi al nuovo regolamento generale sulla protezione dei dati (General Data Protection Regulation – Regolamento europeo n. 2016/679).

L’agenda digitale precisa:

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici.

E’ chiaro da subito che si tratta di una norma europea… inutile quindi sperare nella classica proroga “all’italiana”.

GDPR quindi non è un prodotto preconfezionato da acquistare per mettere le cose a posto, e non si risolve cambiando il firewall o il software di backup. Questi sono solo strumenti, importanti quanto vuoi ma pur sempre strumenti…

Mettere a norma la tua Azienda è sopratutto una questione di processi aziendali, gli strumenti per attuarli vengono dopo, prima devi conoscere la tua situazione attuale, devi sapere cosa manca (se manca qualcosa…) alla tua Azienda.

Come ? Attuando i passaggi di cui ti parlo più avanti.

A quali Aziende si applica il GDPR?

Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici, imprese private e studi professionali) che, a vario titolo, trattano dati classificabili come “dati personali” di cittadini residenti nella UE.

Cos’è il dato personale ?

E’ una qualsiasi informazione riguardante una persona fisica.

Cosa chiede il GDPR alle aziende?

Tutte le Aziende dovranno prendersi delle nuove responsabilità in materie di privacy e di gestione dei dati:

  • ACCOUNTABILITY & GOVERNANCE. La tua Azienda dovrà adottare tecnologie e processi per dimostrare che “si sta facendo sul serio”,  circa il rispetto del regolamento.
  • BREACH NOTIFICATION. Questo è un passaggio importante: il Regolamento impone alle Aziende di notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in cui ne viene a conoscenza. In altre parole, se la tua Azienda subisce un furto di dati, lo deve denunciare all’autorità competente.
  • STORAGE LIMITATION. La tua Azienda potrà conservare i dati personali solo per un periodo di tempo strettamente necessario alla finalità del trattamento.
  • INDIVIDUALS’ RIGHTS. Le Aziende dovranno assicurare nuovi diritti come:
    • Diritto di Accesso: fornire agli individui l’accesso ai propri dati.
    • Diritto alla Portabilità: possibilità di trasferire i dati ad un’altra organizzazione in modo semplice e completo
    • Diritto di Cancellazione : cancellazione dei dati personali quando richiesto o quando non più necessari per il trattamento.

GDPR: 6 figure chiave

La normativa introduce alcune figure chiave che è bene conoscere:

  • Persona fisica: il proprietario dei dati.
  • Titolare del trattamento: determina le finalità e gli strumenti del trattamento di dati personali e decide quali categorie di dati personali devono essere registrate.
  • Processor: è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
  • Data Protection Officer (DPO): responsabile della protezione dei dati.
  • Supervisory Authority: il garante per la protezione dei dati personali.
  • European Data Protection Board (EDPB): Garante Europeo per la protezione dei dati (Maggiori info qui).

GDPR: alcuni passi ben precisi…

Visto così sembra proprio una bella gatta da pelare per gli imprenditori e gli IT Manager.
 Per rendere il tutto più “digeribile” ti consiglio di approcciare il problema in diversi step:
  • Primo passo: Assessment. Un’analisi basata su una pratica e efficace intervista per capire, all’interno della tua Azienda, quali sono i comportamenti, le abitudini, le procedure e gli strumenti oggi presenti in materia di tutela della privacy. Completato e condiviso l’assessment sarà necessario definire il piano di interventi.
  • Secondo step: individuate le lacune bisognerà attivarsi per colmarle, con protezione tecnologica. Infatti il GDPR non è un documento ma una serie azioni  da compiere: proteggere i tuoi dati dal pericolo Cryptolocker e ransomware simili…, oppure garantire un Back Up dei dati e proteggere la propria rete con un FireWall.
  • Terzo passaggio: il mantenimento. Il GDPR non è un’azione una tantum, ma la sua attuazione nella tua azienda dovrà essere costantemente monitorata e “manutenuta”, con continue verifiche ed accorgimenti

GDPR: il minimo che devi fare…

Se, in vista del 25 Maggio non ti sei ancora mosso, sei ancora in tempo per rimediare: richiedici subito informazioni circa il nostro servizio GDPR Assessment.