GDPR: come adeguarsi alla nuova Normativa Privacy

Mag

18

GDPR: come adeguarsi alla nuova Normativa Privacy

Il 25 maggio 2018 entra in vigore senza possibilità di proroga il nuovo regolamento dell’Unione Europea sulla protezione dei dati personali, il GDPR (General Data Protection Regulation).

L’avvento di internet ha reso necessario un aggiornamento della disciplina, anche per via della diffusione e del valore sempre più evidente dei dati degli utenti. A dimostrarlo anche il caso Cambridge Analytica, l’azienda che avrebbe sfruttato i dati personali di oltre 50 milioni di utenti Facebook per targetizzare e ottimizzare diverse campagne elettorali, tra cui quella per l’elezione di Trump.

Ma vediamo che cosa dice la nuova normativa.

Il GDPR (UE 2016/679) è una normativa che impatterà in modo importante sulle organizzazioni di ogni settore e dimensione che trattano dati personali (qualsiasi informazione riguardante una persona fisica identificata o identificabile” ivi inclusi “uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.), le quali saranno chiamate a mettersi in conformità in tempi ormai brevi, per rendere conformi i propri processi interni, in un’ottica di trasparenza e gestione privacy dati.

Il rischio per chi non si dovesse mettere in regola è quanto mai concreto: le sanzioni possono arrivare fino al 4% del fatturato globale annuale complessivo.

Quali sono i cambiamenti più importanti del GDPR e cosa devono sapere le imprese per prepararsi alla nuova normativa?

I principi chiave del GDPR e cosa cambia per le aziende:

  1. Parola d’ordine: Informare! Ruolo centrale dell’informativa e del consenso al trattamento. Bisogna informare l’interessato di ciò che si intende fare con i suoi dati personali attraverso un’informativa semplice e chiara. Inoltre le aziende devono garantire agli utenti il diritto di portabilità dei dati: l’obbligo di fornire se richiesto dal cliente, i dati in modo gratuito e in formato elettronico per agevolarne il trasferimento da un ente all’altro. Ciò va incontro anche al diritto all’oblio degli interessati: diritto alla cancellazione dei dati dell’utente se quest’ultimo non vuole mantenere il consenso al trattamento e non ci sono ragioni legittime per conservarli.

2. Gestione Data Breach. Ogni organizzazione ha l’obbligo di spiegare e documentare come agirebbe in caso di violazione dei dati per poter assicurare al cliente la tutela della privacy fin dalla fase progettuale. Diventa prioritario valutare i rischi per l’intera gestione del ciclo di trattamento dei dati prevedendo fin dall’inizio le garanzie indispensabili previste nel regolamento e realizzare una vera e propria valutazione dei rischi scritta (Data Protection Impact Assessment – DPIA). Se l’esame delle possibili fonti di rischio non è stato sufficiente a evitare una violazione dei dati personali e si palesa un caso di violazione si dovrà dare una tempestiva notifica (entro 72 ore) alle autorità locali competenti, e anche le persone interessate dovranno essere avvertite senza ritardo.

3. Nell’assicurare la trasparenza circa il trattamento dei dati, un altro obbligo introdotto dal GDPR è quello di istituire un Registro del Trattamento, strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per consentire una gestione efficace e ordinata della sicurezza.

4. Istituzione del DPO (Data Protection Officer): risorsa interna/esterna che ha la finalità di garantire che l’organizzazione sia conforme al GDPR facilitando l’attuazione del regolamento da parte del titolare/responsabile. Esso deve:

  • monitorare l’adeguamento e la protezione dei dati,
  • controllare che il titolare o responsabile dei dati effettuino la valutazione dei rischi,
  • controllare la documentazione e notificare casi di violazione,
  • essere intermediario tra le autorità di controllo e l’organizzazione.

Il DPO è una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento.

GDPR Compliant: come diventarlo?

Come prima cosa si può attuare un’attività di pre-verifica dei requisiti previsti dal GDPR per poi “calarli” all’interno della specifica realtà aziendale.
Al termine di questa analisi preliminare si può attivare un processo di interventi volti all’introduzione e alla modifica di sistemi, modelli e procedure per essere a norma con i principi del regolamento.

  • Sicuramente il tema della cybersecurity è strettamente connessa al GDPR da qui si comprende l’importanza di dotarsi di soluzioni tecnologiche che possano prevenire le minacce, rilevare le compromissioni e la loro portata e fornire una risposta rapida. A livello tecnico sarà importante avvalersi di consulenti IT preparati e certificati per migliorare le soluzioni di archiviazione locale dei dati con sistemi che centralizzino sia la gestione delle autorizzazioni sia dell’accesso ai dati. Sarà buona norma optare su un’affidabile soluzione di Storage e Back Up: i Sistemi Cloud sono la scelta migliore.

Scopri tutti i Servizi di TecHello per Proteggere i Dati Personali

  • Si consiglia anche di revisionare tutta la modulistica: compilare in modo approfondito l’analisi dei rischi, il registro delle attività dei trattamenti e il registro dei consensi. Per farlo puoi affidarti ad Agyo Privacy: lo strumento che ti aiuterà a produrre tutto ciò che ti serve per essere in regola con la nuova normativa. Puoi generare ad esempio le lettere di incarico, gestire la richiesta del consenso dei trattamenti, fare un’analisi dei rischi completa dell’azienda e di pianificare le Audit periodiche obbligatorie molto altro! Grazie ad un editor integrato, permette di modificare i circa 40 modelli di stampa pronti all’uso (nomine, revoche, registri, ecc.) e consente in pochi passaggi di segnalare eventuali Data Breach al  Grante Privacy.
  • Infine si raccomanda di attribuire sin da subito le figure preposte al Trattamento dei Dati (Titolari, Responsabili, DPO, Soggetti Autorizzati), dunque i ruoli e il modello organizzativo da seguire.

È evidente che dal punto di vista formale-organizzativo il nuovo Regolamento Europeo obbliga le imprese a ridefinire la parte documentativa del D.Lgs. 196/2003 con regole più chiare, limiti al trattamento automatizzato dei dati personali, nuovi diritti per il cliente, criteri rigorosi per il trasferimento dati fuori dall’UE e casi di violazione, ma questa normativa nasce soprattutto per definire le regole di responsabilità nell’utilizzo dei dati personali, che ai giorni nostri rappresentano la materia prima in grado di alimentare la crescita e lo sviluppo delle imprese. Inoltre il GDPR vuole creare un clima di fiducia per lo sviluppo dell’economia digitale, offrire certezza giuridica, ma anche strumenti di più semplice comprensione alle persone interessate.


Sitografia e Fonti:

Print Friendly, PDF & Email