GDPR: 99 giorni per conoscerlo e adeguarsi

14 febbraio 2018

Tra 99 giorni avrà piena efficacia il GDPR, il Regolamento sulla Protezione dei Dati Personali, che porterà le aziende alla revisione dei loro processi per gestire correttamente i dati personali in loro possesso e non incorrere nelle sanzioni previste. La tua azienda è pronta?

Stando alle dichiarazioni di imprenditori, CEO e CIO, ormai è un dato di fatto che i dati siano il bene più prezioso per le aziende di oggi e di domani. Essi, infatti, rappresentano il nuovo capitale che ogni azienda deve custodire e sfruttare per sviluppare al meglio il proprio business. Grazie ai dati le aziende possono spingersi verso nuove opportunità, programmare senza sprechi le linee produttive e rispondere puntualmente alle esigenze dei clienti e dei consumatori.

Se da un lato quindi è importante raccogliere, gestire e analizzare nel migliore dei modi i dati, dall’altro lo è ancora di più proteggerli adeguatamente all’interno di ciascuna funzione aziendale. Peccato però che la maggior parte delle aziende, soprattutto quelle di dimensioni più ridotte, non comprenda il reale valore dei dati in loro possesso e non si renda conto di quanto sia importante salvaguardarli. Infatti, secondo l’ultimo rapporto Assintel, oltre il 60% delle PMI non sa cosa sia il GDPR o ha appena cominciato a raccogliere qualche informazione per comprendere come tutelare i dati nel pieno rispetto del Regolamento.

GDPR, in molti ne parlano ma quanti lo conoscono?

Secondo quanto definito dal Garante, il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 in materia di protezione dei dati personali, “introduce delle regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce dei criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (Data Breach)”.

Il Regolamento, approvato il 26 Aprile 2016 e che avrà piena efficacia a partire dal 25 Maggio 2018, nasce con l’obiettivo di rafforzare e uniformare la legislazione relativa alla protezione dei dati personali dei cittadini di 28 Paesi dell’UE, sia all’interno che all’esterno dei confini europei. In particolare, con l’introduzione del GDPR, i cittadini europei potranno esercitare:

  1. il diritto di accesso per ricevere una copia dei dati personali oggetto del trattamento;
  2. il diritto all’oblio per chiedere la cancellazione dei propri dati personali nei casi previsi dal Regolamento;
  3. il diritto di limitazione all’utilizzo dei propri dati personali a determinati trattamenti;
  4. il diritto alla portabilità per ottenere il trasferimento dei dati personali da un titolare del trattamento a un altro indicato dall'interessato.

Le novità per le aziende

Per garantire la protezione dei dati personali degli interessati e raggiungere la piena conformità al GDPR, le organizzazioni, sia pubbliche che private, dovranno rivedere i propri processi interni ponendo alla base di essi un approccio basato sulla valutazione del rischio (Risk-Based Approach).

Tale modello pone in primo piano la figura del Titolare del trattamento, rivestendola di nuovi doveri e responsabilità, come previsto dal nuovo principio di accountability. La responsabilizzazione del Titolare del trattamento prevede tra l’altro:

  1. la tenuta di un Registro dei trattamenti che illustri le finalità del trattamento, la tipologia dei dati trattati, le persone che vi hanno accesso e le misure di sicurezza adottate.
  2. l’analisi dei rischi e la valutazione d’impatto da effettuare sulla base del contesto e della finalità del trattamento per individuare i possibili rischi e comprendere quali strumenti utilizzare per attenuarli.
  3. la nomina di un Data Protection Officer (figura obbligatoria solo in caso di trattamenti effettuati su larga scala, trattamenti effettuati da un organismo pubblico e trattamenti di categorie speciali di dati personali) che fornisca un adeguato supporto al Titolare nell’adeguamento al GDPR e che funga da interlocutore con le Autorità;
  4. l’obbligo di notifica al Garante di un eventuale Data Breach, ossia di una violazione dei dati, entro 72 ore dalla scoperta. Se tale violazione rappresenta anche un rischio elevato per i diritti e le libertà delle persone, il Titolare dovrà notificare il Data Breach ad ogni singolo interessato. Nel caso in cui il Titolare non adempia a tale obbligo, sono previste sanzioni amministrative fino a 10.000.000 € o fino al 2% del fatturato mondiale annuo, per non parlare dei danni reputazionali e di immagine collegati a un Data Breach.

Come può aiutarti Infoteam?

Infoteam ha creato al suo interno una Business Unit composta da un team di persone qualificate e certificate che ti possono mettere a disposizione una ventennale esperienza nel campo della sicurezza e della privacy.

In particolare, il servizio GDPR Compliance, copre tutti gli ambiti del nuovo Regolamento, dal legale all’organizzativo, all’informatico alla security permettendo alle aziende di:

  1. valutare i limiti di applicabilità della norma e l’attuale livello di sicurezza e di protezione dei dati;
  2. analizzare i processi, i rischi e l’impatto in ambito privacy;
  3. supportare gli adeguamenti tecnici e organizzativi;
  4. identificare i gap da colmare progettando un modello coerente con il contesto aziendale;
  5. assistere l’impresa nel conseguimento e nel mantenimento della conformità al GDPR formando i dipendenti, rivedendo i processi aziendali e adeguando le tecnologie ove necessario.

Gli specialisti di Infoteam sono a tua completa disposizione per approfondire quanto sopra descritto e fornirti il supporto necessario per intraprendere il percorso di conformità al GDPR.

Contattaci scrivendo a marketing@infoteamsrl.it o telefonando allo 0424 898414.