Il GDPR (Regolamento Generale sulla Protezione dei Dati) rimetterà in discussione il modo in cui le aziende trattano, elaborano e gestiscono i dati.
Entro il 25 maggio 2018 sia le aziende sia gli enti pubblici europei saranno tenuti ad adeguarsi al GDPR. Ciò significa che qualsiasi azienda in possesso dei dati dei cittadini dell’UE, che si tratti di informazioni personali, numeri delle carte di credito o di semplici fotografie, sarà soggetta al GDPR.
Attraverso la promulgazione di questo nuovo regolamento, l’Unione Europea ha trasmesso un messaggio di importanza fondamentale: quello di avere a cuore la protezione dei dati dei suoi cittadini.
Il nuovo Regolamento Europeo non dovrebbe quindi essere considerato come un gravoso obbligo da rispettare per evitare di incorrere in eventuali multe, ma come un significativo passo in avanti nella direzione della tutela dei dati personali dei cittadini. Dal punto di vista delle PMI, la rilettura in chiave di opportunità e di scelta strategica costituisce, inoltre, la soluzione vincente per l’aumento dei profitti.
Se considerato sotto questa luce, il GDPR si trasforma in un fattore competitivo per le aziende, in grado di rendere più agevole l’acquisizione di nuovo business o di un nuovo servizio. Grazie all’adozione di tali processi sarà possibile identificare e risolvere i problemi nelle fasi iniziali di un progetto, riducendo i costi associati e i danni che potrebbero sorgere in seguito a una violazione delle leggi e dei regolamenti sulla protezione dei dati.
In questo nuovo scenario, la figura chiave è quella del Data Protection Officer (DPO), esperto che si rivolge direttamente al vertice aziendale e controlla la corretta applicazione delle normative relative al trattamento dei dati personali.
Oltre alla figura del DPO, uno dei pilastri del nuovo regolamento è il registro dell’attività di trattamento. Si tratta di uno strumento di reporting aziendale indispensabile per dimostrare di essere in linea con la normativa. Nello specifico, dovrà contenere informazioni riguardanti i soggetti che gestiscono i dati, le finalità del trattamento, le categorie di dati personali, i destinatari ed i termini ultimi previsti per la cancellazione delle diverse categorie di dati. Se possibile, presenterà anche una descrizione delle misure di sicurezza tecniche e organizzative.
Come fare per soddisfare i requisiti del nuovo regolamento? È essenziale focalizzarsi su cinque azioni.
- Non ignorare il GDPR
Il consiglio è quello di adottare una strategia proattiva e di non pensare che la propria azienda non sia coinvolta. Il GDPR si applica a qualsiasi azienda che elabora dati personali e dal 25 maggio 2018 ogni violazione verrà punita con sanzioni proporzionali al fatturato aziendale. - Designare un Data Protection Officer
Non solo le imprese che agiscono in ambito europeo, ma anche le aziende esterne all’Unione Europea che trattano dati relativi all’UE, devono designare un responsabile della protezione dei dati. - Dimostrare un atteggiamento responsabile
Le aziende e le organizzazioni sono tenute ad assumere un atteggiamento responsabile, che si traduca nell’acquisizione e nella registrazione di un consenso esplicito da parte dei soggetti interessati. Di conseguenza, è auspicabile l’elaborazione di tecniche semplici e chiare per la documentazione dei consensi. - Gdpr non è solo security
Implementare misure di sicurezza informatica adeguate per proteggere i dati personali è necessario ma non sufficiente a determinare la compliance aziendale. Serve un approccio integrato con una cultura del dato in azienda, valutazione d’impatto e analisi dei rischi. - Prepararsi ad eventuali azioni da parte dei soggetti interessati
Secondo il GDPR, i soggetti interessati dal trattamento dei dati personali hanno la possibilità di esercitare diversi diritti (oblio, portabilità dei dati). Hanno inoltre il diritto di essere informati in caso di violazioni.
Se un’impresa non è ancora in grado di gestire le violazioni dei dati o di fronteggiare soggetti che esercitano i propri diritti, dovrebbe cominciare urgentemente ad allinearsi alla nuova normativa.
Testo di: Antonella Alberio, Consultant Reti S.p.A.