GDPR - Le verità che non sai sul Nuovo Regolamento Privacy
Il General Data Protection Regulation (GDPR) ha sicuramente avuto un importante impatto su come ogni organizzazione gestisce attualmente le informazioni sui cittadini dell’Unione Europea, su come e dove i loro dati vengono utilizzati ed archiviati. E un’epoca in cui le fake news sono all’ordine del giorno, qualche verità in più aiuta a comprendere la reale utilità di un Regolamento come questo.
Leggi e regolamenti sulla privacy e i dati personali non sono certo nulla di nuovo, ma il Regolamento Europeo pone un accento importante sulla sicurezza e la correttezza per la gestione dei dati, che vengono rimessi nelle mani del cittadino con l’implicazione che le organizzazioni debbano essere più chiare e trasparenti sulle informazioni in loro possesso e come le utilizzino.
C’è da dire che il GDPR rappresenta il più imponente cambiamento degli ultimi 20 anni in materia di legislazione sulla protezione dei dati e avrà sicuramente un effetto altrettanto importante sulla nostra società. Questo poiché la legislazione richiede, gestisce e tratta dati personali per ogni azienda, ogni pubblica amministrazione, ogni scuola, organizzazione caritatevole, ospedale, e chi più ne ha, più ne metta. Ed ecco dunque 10 falsi miti da sfatare sul GDPR, per aver chiaro quanto in realtà esso sia – oggi più che mai – fondamentale:
Il GDPR ha cambiato completamente le modalità di trattamento dei dati operate dalle organizzazioni
Falso – In Europa, esistono legislazioni sulla Protezione dei Dati dal 1995. Proprio sulla base di quella normativa è stato sviluppato il Regolamento Privacy, sulle regole già applicate e ovviamente alla Direttiva sulla Protezione dei Dati. Considerato che dal ’95 molto è cambiato nel panorama – non solo informatico – del trattamento dei dati, con la pubblicazione e l’entrata in vigore del GDPR si hanno finalmente delle regole al passo coi tempi.
L’applicazione del GDPR è opprimente per PMI
Falso – I requisiti e le obbligazioni dell’applicazione del GDPR non sono identici per tutte le organizzazioni. Il Regolamento Privacy non è stato pensato per appesantire le attività.
Alle organizzazioni con sede in territori extra Europei non si applica il GDPR
Falso – Anche queste organizzazioni sono tenute ad essere conformi al GDPR nel caso in cui vi sia trattamento di dati personali ed operino in territorio Europeo.
In accordo al GDPR, le organizzazioni richiedono il consenso una sola volta e fanno quello che vogliono dei dati personali
Falso – Anzitutto, se l’organizzazione ritiene di utilizzare il dato personale per un secondo scopo, è tenuta a chiedere il consenso una seconda volta. Questo perché, in accordo al GDP i dati non possono essere utilizzati per qualsivoglia trattamento senza l’autorizzazione dell’interessato.
Il tempo per applicare il GDPR non è stato sufficiente
Falso – Il Regolamento Privacy è stato pubblicato il 24 Maggio 2016, fornendo 2 anni come periodo di transizione a tutte le organizzazioni per applicarne i requisiti e mettere in pratica le nuove regole. Questo periodo è terminato il 25 Maggio 2018, data dalla quale le autorità garanti possono agire nei confronti delle organizzazioni non conformi.
Le sanzioni previste dal GDPR distruggono il business
Falso – Il non rispetto delle regole previste dal GDPR non prevede automaticamente l’ingiunzione della sanzione di 20 milioni di €. Il GDPR stabilisce un range di sanzioni per coloro che non rispettano l’applicazione del regolamento. Queste, in aggiunta a misure correttive, ammonimenti, e richiami, completano il quadro delle azioni applicabili dal garante, dove il 20 milioni di € o il 4% del fatturato globale figurano come sanzione massima.
L'impegno di Kiwa per la Sicurezza Informatica
Kiwa pone particolare attenzione verso la sicurezza informatica e chiede ai suoi stakeholder di fare altrettanto. A luglio del 2018, Kiwa Italia ha ottenuto l’accreditamento per la Certificazione del Data Protection Officer, figura professionale responsabile della protezione dei dati personali, in conformità alla norma UNI 11697. Inoltre, tra i vari servizi offerti, propone anche la Certificazione in accordo allo Standard ISO/IEC 27001 – Sistema di Gestione per la Sicurezza delle Informazioni.
Tra gli altri servizi, la certificazione in accordo alla Prassi UNI/PdR 43:2018, dedicata al trattamento automatizzato di dati personali, fornisce alle organizzazioni uno strumento di riferimento utile per definire in modo obiettivo e ripetibile le azioni per la gestione e il monitoraggio dei dati personali in ambito ICT secondo il nuovo Regolamento Europeo sulla protezione dei dati, UE 679/2016 (GDPR).
Ultima ma non meno importante, Kiwa Italia ha ottenuto a novembre 2018 l’estensione dell’accreditamento dello schema di Certificazione in accordo alla norma ISO/IEC 27001:2013 a tutte le linee guida per la protezione delle informazioni, tra cui anche la ISO 27017 e la ISO 27018.
Kiwa Idea, società interamente dedicata alla formazione, propone diversi corsi in materia di sicurezza informatica, reperibili sul Catalogo Corsi online e organizza in diverse città italiane il Master per Data Protection Officer, con rilascio di attestato valido come requisito ai fini dell'iscrizione all'esame di certificazione per tale figura professionale.