fbpx

Implementazione GDPR

 

Il nuovo Regolamento sulla protezione dei dati, GDPR – General Data Protection Regulation, si applica a tutte le organizzazioni aziendali.

 

Si tratta di un provvedimento innovativo e impegnativo che per la prima volta impone alle aziende di affrontare la privacy in ottica di Sistema.

 

Si abbandona quindi l’impostazione basata sui puri adempimenti burocratici per passare a una impostazione basata sulla responsabilizzazione del vertice aziendale che deve valutare i rischi e mettere in atto misure efficaci per minimizzare i rischi, nel rispetto delle regole definite dal GDPR. La normativa definisce le regole e il perimetro nel quale è consentito muoversi, l’azienda deve mettere in atto misure di sicurezza adeguate ed efficaci e deve poter dimostrare la propria conformità.

 

L’azienda deve quindi applicare il principio anglosassone della accountability: fare le cose bene (misure concrete, adeguate ed efficaci) e dare evidenza oggettiva della propria conformità raccogliendo l’evidenza degli interventi effettuati.

 

Tra le novità, vi è l’introduzione di pene severe per coloro che mettano a rischio i diritti degli individui, con sanzioni fino a 20 milioni di euro e fino al 4% del fatturato consolidato annuo.

 

Un’altra novità importante è che le violazioni di dati personali (es. dati riservati trasmessi per errore all’indirizzo sbagliato) devono essere denunciate al Garante e che le ispezioni vengono effettuate dalla Guardia di finanza che verifica gli aspetti legali, organizzativi e IT.

Le aziende incontrano difficoltà nel mettersi a norma e raggiungere la compliance per un insieme di motivi:

 

• la normativa è complessa e riguarda aspetti legali, informatici e organizzativi, quindi sono necessarie figure con competenze specialistiche e multidisciplinari;

• la problematica interessa trasversalmente tutta l’azienda (organizzazione, risorse umane, IT, marketing, qualità) ed è necessario coinvolgere tutte le funzioni;

• i processi e i sistemi informatici sono già operativi e non è semplice adattarli ai nuovi requisiti di sicurezza (es. crittografia);

• i crimini informatici sono in netta crescita ed è necessario adottare misure sempre più complesse.

I passi da compiere per affrontare questa problematica che è complessa sono:

 

• check-up (assessment) GDPR: mappatura dei trattamenti in essere e individuazione delle relative criticità;

• nomina del Data Protection Officer: esperto della privacy che supporta l’azienda nel definire le misure da adottare;

• predisposizione del piano di azione dando la priorità alla messa in sicurezza delle aree critiche.

Vuoi ricevere maggiori informazioni?

Lascia i tuoi dati e verrai subito ricontattato