Il GDPR - Regolamento Privacy

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è stato concepito per rafforzare i diritti dei dati dei residenti nell'Unione europea (UE) e armonizzare le leggi sulla protezione dei dati di tutti gli Stati membri. Il Regolamento Europeo pone un accento importante sulla sicurezza e la correttezza messa in campo per la gestione dei dati, che vengono rimessi nelle mani del cittadino con l’implicazione che le organizzazioni debbano essere più chiare e trasparenti sulle informazioni in loro possesso e come le utilizzino.

Dati Personali

Fondamentalmente, i dati svolgono un ruolo importante in quasi tutti gli aspetti della nostra vita. Il tuo nome, indirizzo (email), numero di carta di credito e altro sono raccolti, analizzati o archiviati dalle organizzazioni. Secondo i nuovi termini GDPR, le organizzazioni dovranno garantire che tutti questi dati personali siano raccolti legalmente e in condizioni rigorose e che coloro che raccolgono e gestiscono i dati sono obbligati a proteggerli da uso improprio e sfruttamento.

Titolare e Responsabile del Trattamento

Secondo il nuovo GDPR, è necessario per le Organizzazioni comprendere la differenza tra i Titolari e i Responsabili del trattamento dei dati. Il Titolare del trattamento determina le finalità e le modalità di trattamento dei dati personali e decide quindi "perché" e "come" i dati personali devono essere trattati, mentre il Responsabile del trattamento è di norma un soggetto esterno all’ Organizzazione che tratta ed elabora i dati personali per conto del Titolare del trattamento. I doveri del Responsabile del trattamento nei confronti del Titolare devono essere specificati in un contratto stipulato in forma scritta: il cosiddetto Contratto di elaborazione dati.

Data-breaches

Il GDPR introduce l'obbligo di notificare la violazione dei dati personali all'autorità garante, di competenza nazionale. Sebbene tu possa aver fatto tutto il necessario per minimizzare il rischio, purtroppo le violazioni non sono mai prevenibili al 100%. Titolari e Responsabili del trattamento sono quindi incoraggiati alla proattività, al fine di rilevare e porre rimedio in tempi brevi a una violazione e determinare se è necessario notificare tale violazione all'autorità garante e, altro punto importante, alle persone coinvolte.

Sanzioni

Il mancato rispetto dei requisiti del GDPR può portare a multe salate, che giungono sino a 20 milioni di € o al 4% del fatturato globale. A questo chiaramente sarà necessario aggiungere il danno a livello di immagine, poiché mettere dati personali a rischio, potrebbe essere il principio di un disastro a livello di reputazione aziendale.

L'impegno di Kiwa per la Sicurezza Informatica

Kiwa pone particolare attenzione verso la sicurezza informatica e chiede ai suoi stakeholder di fare altrettanto. A luglio del 2018, Kiwa Italia ha ottenuto l’accreditamento per la Certificazione del Data Protection Officer, figura professionale responsabile della protezione dei dati personali, in conformità alla norma UNI 11697. Inoltre, tra i vari servizi offerti, propone anche la Certificazione in accordo allo Standard ISO/IEC 27001 – Sistema di Gestione per la Sicurezza delle Informazioni. 

Tra gli altri servizi, la certificazione in accordo alla Prassi UNI/PdR 43:2018, dedicata al trattamento automatizzato di dati personali, fornisce alle organizzazioni uno strumento di riferimento utile per definire in modo obiettivo e ripetibile le azioni per la gestione e il monitoraggio dei dati personali in ambito ICT secondo il nuovo Regolamento Europeo sulla protezione dei dati, UE 679/2016 (GDPR).

Ultima ma non meno importante, Kiwa Italia ha ottenuto a novembre 2018 l’estensione dell’accreditamento dello schema di Certificazione in accordo alla norma ISO/IEC 27001:2013 a tutte le linee guida per la protezione delle informazioni, tra cui anche la ISO 27017 e la ISO 27018.

Kiwa Idea, società interamente dedicata alla formazione, propone diversi corsi in materia di sicurezza informatica, reperibili sul Catalogo Corsi online e organizza in diverse città italiane il Master per Data Protection Officer, con rilascio di attestato valido come requisito ai fini dell'iscrizione all'esame di certificazione per tale figura professionale.