Il Regolamento europeo sulla protezione dei dati è diventata una priorità per le aziende che trattano informazioni legate ai cittadini residenti nell’Unione Europea
Che cos’è il GDPR?
Il 24 maggio 2016 è entrato in vigore il nuovo regolamento UE 2016/679, meglio conosciuto come “Regolamento Generale sulla Protezione dei Dati – GDPR” ossia “General Data Protection Regulation” e sarà applicato a decorrere dal 25 maggio 2018. Con quest’ultima scadenza giunge a compimento un lungo e articolato percorso in tema di tutela dei dati personali in Europa e visto che alle aziende sono stati dati 2 anni di tempo per adeguare la propria struttura e le procedure alla nuova normativa, le sanzioni non saranno indifferenti.
Il GDPR nasce dalla volontà di unificare la legislazione sulla protezione dei dati dell’Unione Europea. L’obiettivo è di unificare i processi e gli obblighi legali che riguardano qualsiasi organizzazione che intrattiene rapporti commerciali con ogni stato europeo. Segna il più grande cambiamento nelle leggi sulla privacy dei dati all’interno dell’Unione Europea degli ultimi 20 anni e cambierà il modo i cui le aziende gestiscono e proteggono i dati personali.
Principio di accountability, privacy by design e privacy by default
I legislatori di Bruxelles per evitare di generare montagne di regole tecniche ed organizzative per la difesa dei Dati, regole che in nessun modo avrebbero potuto rispecchiare le innumerevoli casistiche e le diversità di dimensioni e di mercato presenti, hanno seguito il modello della Responsabilizzazione. La base di tutto il Decreto è il concetto di Accountability (Responsabilizzazione) dei titolari e dei responsabili.
Nell’ottica della accountability, il regolamento è costantemente focalizzato sulla necessità, per il titolare, di adottare e implementare misure di sicurezza appropriate ed effettive, e sulla capacità di dimostrare, in ogni momento, la conformità dei propri trattamenti al Regolamento.
Fondamenti rilevanti di “misure tecniche e organizzative adeguate”:
- la loro natura preventiva e non rimediale;
- le soluzioni tecnologiche ritenute necessarie vanno incorporate nella struttura dei sistemi come loro parti integranti e non aggiunte all’occorrenza.
La privacy by design concretizza la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, prevedendo le garanzie indispensabili per soddisfare i requisiti del Regolamento.
La privacy by default riguarda il modo tecnico e organizzativo con cui opera ai fini dell’utilizzazione, conservazione e protezione dei dati trattati.
Il GDPR chiama le aziende alla semplicità
L’entrata in vigore del sistema sanzionatorio del GDPR può essere una occasione epocale per fare pulizia nei processi organizzativi delle imprese, in qualsiasi settore di attività. E’ giunto il momento di cogliere al meglio le opportunità che si aprono, non soltanto per chi è impegnato in prima linea in attività specifiche di consulenza o di sviluppo.
Invece di cercare soluzioni veloci per essere conformi al GDPR, le aziende dovrebbero guardare oltre il 25 maggio 2018. Bisogna focalizzarsi su effettivi miglioramenti sostenibili. Un approccio proattivo verso la privacy e la sicurezza informatica dei dati può portare a nuove opportunità di business.
La fase preparatoria al GDPR non è solo un progetto IT, e non è nemmeno un’iniziativa che impatta solamente il lavoro del Responsabile della Privacy o della Sicurezza. La collaborazione tra i diversi settori è fondamentale nel raggiungere la conformità.
Ogni azienda per iniziare a fare un piano che la renda adempiente alle nuove regole della Data Privacy, dovrà eseguire un approfondimento partendo dalla “valutazione dei rischi” per esempio di un processo che esegue il trattamento di dati personali critici. Se il rischio di perdita o trafugamento delle informazioni è elevato tale processo aziendale deve essere difeso, tali difese devono essere tracciate da apposite documentazioni, devono prevedere verifiche e piani di adeguamento periodici (Descritti appunto nei Registri del Trattamento).
La compliance non può infatti essere in discontinuità e l’atteggiamento sempre più proattivo, anche rispetto a quanto era previsto nella normativa precedentemente in vigore, è un obbligo silente ma necessario. Essere sempre al passo, o possibilmente un passo avanti, è imperativo per garantire la tranquillità alla propria azienda.
Non è sufficiente fare le cose, occorre dimostrarle!
La documentazione non è altro che il risultato percettibile di una lunga e approfondita attività di reperimento dati e della loro successiva analisi e sintesi che consente di ottenere una chiara visione della realtà oggetto di indagine, come fosse una istantanea.
Custodire in sicurezza la serie storica della produzione documentale è così l’archivio dei fotogrammi che in sequenza ne rappresentano l’evoluzione nel corso del tempo, sta diventando indispensabile.
Si segnala che è importante approfondire in qualunque modo la conformità della propria Azienda verso il Decreto GDPR, non per evitare le Sanzioni, ma per dimostrare di essere sia in Italia che in Europa, che nel Mondo, una Azienda con solide regole a tutela della Security dei dati dei propri dipendenti, dei propri clienti o fornitori.
Il GDPR punta l’attenzione sull’adozione di strumenti di gestione innovativi che garantiscono la sicurezza dei dati!