11 aprile 2018

Come prepararsi adeguatamente al GDPR

Come prepararsi al GDPR

Il General Data Protection Regulation (GDPR) avrà sicuramente un importante impatto su come ogni organizzazione gestisce le informazioni sui cittadini dell’Unione Europea, su come e dove i loro dati vengono utilizzati ed archiviati. E considerata la sua entrata in vigore, il 25 maggio 2018, è il caso di prepararsi a questo importante cambiamento.

Leggi e regolamenti sulla privacy e i dati personali non sono certo nulla di nuovo, ma il Regolamento Europeo pone un accento importante sulla sicurezza e la correttezza messa in campo per la gestione dei dati, che vengono rimessi nelle mani del cittadino con l’implicazione che le organizzazioni debbano essere più chiare e trasparenti sulle informazioni in loro possesso e come le utilizzino. 

Il GDPR rappresenta il più imponente cambiamento degli ultimi 20 anni in materia di legislazione sulla protezione dei dati e avrà sicuramente un effetto altrettanto importante sulla nostra società. Questo poiché organizzazione richiede, gestisce e tratta dati personali, ogni azienda, ogni pubblica amministrazione, ogni scuola, organizzazione caritatevole, ospedale, e chi più ne ha, più ne metta. 

Dal prossimo mese di maggio ogni cittadino avrà il diritto di sapere e decidere come i suoi dati personali vengono utilizzati o trattati. Il che implica un profondo cambiamento per tantissime organizzazioni, appartenenti a qualsivoglia settore, dal settore pubblico a quello privato, dalle PMI alle grandi multinazionali. E considerando tutto questo, oltre al poco tempo rimasto all’entrata in vigore, è forse giunto il momento di prepararsi adeguatamente. 

Ed ecco i 5 passi Kiwa da seguire per preparare al meglio la tua organizzazione al 25 maggio:

 

1 Conoscere e comprendere il GDPR 

Con i 99 articoli e le circa 200 pagine, il GDPR non è certo una lettura leggera da fare prima di dormire. Questo però non esclude la necessità di familiarizzare e conoscere le nuove regole che entreranno in vigore il 25 maggio. A maggior ragione, alla luce di quello che potrebbe succedere se l’azienda dovesse non essere allineata al regolamento, in caso di violazione dei dati sono previste sanzioni importanti. Al di là delle azioni disciplinari per i soggetti coinvolti, se l’azienda viene dichiarata colpevole di una violazione le può essere comminata una sanzione fino a 20 milioni di euro o pari al 4% del suo fatturato globale, qualunque esso sia. A questo chiaramente sarà necessario aggiungere il danno a livello di immagine, poiché mettere dati personali a rischio, potrebbe essere il principio di un disastro a livello di reputazione aziendale. 

2 Coinvolgere tutta l’organizzazione 

Il GDPR dovrà essere conosciuto e compreso da tutta l’azienda, a partire dal top management, fino ai livelli più tecnici e operativi. Non solo, ogni singolo dipendente deve prendere coscienza della nuova normativa, dei cambiamenti e degli adeguamenti che derivano dall’entrata in vigore del regolamento. Può inoltre accadere che data la tua attività l’azienda abbia obbligatoriamente bisogno di un responsabile della protezione dei dati (o DPO). Scopri di più su http://bit.ly/FAQ_DPOGarante 

3 Avere i dati sotto controllo

È possibile che la tua azienda sia in possesso di vari tipi di dati, che vengano archiviati in più di un luogo ed è quindi vitale fare un inventario di tutto quello di cui si è in possesso. Per agire in conformità con il GDPR non ci si può infatti affidare al caso, o ad una mera percezione del sapere dove siano archiviati i dati. Il regolamento richiede alle organizzazioni di provare che esse sanno con precisione dove sono o non sono allocati i dati. Viene definito dato personale qualsiasi informazione che permette di identificare un soggetto, direttamente od indirettamente: nome, numero di telefono, indirizzo email o impronta digitale. Nell’insieme dei dati sensibili sono da considerare anche informazioni sul credo religioso, la salute o la vita sessuale di una persona. Una volta che si riesce ad avere un panorama complessivo sull’entità e la quantità di dati archiviati, sarà necessario procedere ad un controllo, una classificazione ed un’analisi di quali rischi potenziali sono legati al trattamento delle informazioni.

4 Redigere un Action Plan 

Sulla base dell’analisi e classificazione considerate al punto precedente, necessarie per comprendere il punto di partenza per adeguarsi al GDPR, possono essere dunque definite ed intraprese decisioni che per priorità rientreranno in modo ordinato in una strategia di compliance al regolamento. Per esempio, le vecchie procedure interne, informative e regolamenti sul trattamento dei dati personali hanno necessariamente bisogno di una revisione più o meno profonda, a seconda del precedente livello di adeguamento alla normativa. Le azioni sulla sicurezza nella protezione dei dati prenderà necessariamente una parte importante dell’action plan, sulla base dei rischi identificati e delle conseguenti misure da mettere in atto. Una volta pronte le policy ed il sistema di sicurezza, sarà quindi necessario informare i dipendenti sui cambiamenti ed aggiornare quanto necessario sul proprio sito. Tutto dev’essere il più trasparente possibile. 

5 Pronti. Partenza. Via! 

Finalmente si può iniziare a mettere in atto l’action plan, supportati dal GDPR-team, al quale può partecipare ogni dipendente della propria organizzazione, ma sarà necessario che siano presenti figure chiave, tra cui il DPO. In accordo al regolamento, le organizzazioni devono adottare un approccio “privacy-by-design” alla proprio strategia di protezione e trattamento dei dati. Questo significa che sarà necessario valutare l’impatto sulla protezione dei dati al lancio di ogni singolo nuovo progetto prima che questo veda la luce. Informare tutti su questa nuova necessità ed incaricare una persona per monitorare i processi, può dunque aiutarti nel proteggere i dati, ma soprattutto può salvaguardare la tua azienda, ora e nel futuro.