GDPR: cosa devono fare le aziende

Come adeguarsi al nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Manca davvero poco: il 25 maggio 2018 entrerà in vigore il General Data Protection Regulation - GDPR - il nuovo Regolamento Europeo in Materia dei Dati Personali.

La nuova normativa cambierà radicalmente i modi in cui le aziende raccolgono, gestiscono, proteggono e trasmettono i dati personali dei propri utenti e clienti.

Concretamente, cosa devono fare le aziende per adeguarsi alla normativa? Quali gli adempimenti necessari per non farsi cogliere impreparati e non incorrere in sanzioni? Ecco i punti a cui fare attenzione.

Per approfondire: Che cos’è il GDPR e cosa cambierà per le imprese

Iniziare a pianificare la conformità al GDPR

Il primo step da fare per adeguarsi al meglio al Regolamento è esaminare tutte le policy e procedure aziendali in essere. In particolare, occorre documentare quali dati personali sono in possesso dell’azienda, la loro provenienza ed eventuali soggetti, interni o esterni, con i quali questi dati vengono condivisi.

Ecco alcune domande-chiave da porsi:

1. Quali tipi di dati personali sono raccolti?
2. Per quali finalità?
3. Come vengono archiviati i dati?
4. Chi può accedere ai dati?
5. Per quanto tempo li conserviamo?
6. Rispettiamo la volontà delle persone relativamente al trattamento dei loro dati?

Le risposte a queste domande permetteranno di avere un quadro generale dello status-quo dei processi di trattamento dei dati personali. Da qui, dopo aver esaminato a fondo le linee guida del GDPR, si redige una roadmap che evidenzia:

•  lacune dell’organizzazione rispetto agli adempimenti del nuovo Regolamento
•  grado di rischiosità delle lacune e conseguente priorità
• attività da avviare entro maggio 2018

Non dimentichiamo che il mancato rispetto degli adempimenti del GDPR può comportare delle sanzioni molto elevate, che possono raggiungere il 4% del fatturato mondiale annuo, fino a 20 milioni di euro: per essere sicuri di non sbagliare, meglio prepararsi in anticipo.

Preparare il team alla protezione dei dati

TUTTI i dipartimenti aziendali devono essere coinvolti nelle procedure di adeguamento al GDPR e TUTTO il personale deve essere informato sul comportamento corretto da adottare in ogni fase del trattamento dei dati.

La nuova normativa, infatti, richiede che l’azienda adotti una nuova visione, orientata alla tutela della privacy di utenti e clienti e alla sicurezza dei dati. Ciò implica, a livello organizzativo, la necessità di massimizzare la collaborazione tra le diverse funzioni aziendali, sia in fase di adeguamento alla normativa che di eventuale violazione.

Prevedere e prevenire i data breach migliorando la cybersecurity

Il tema della cybersecurity è strettamente connesso al GDPR in due aspetti:

• l’idea della “privacy by design” - la normativa impone che la privacy degli utenti debba essere tutelata sin dalla progettazione di un determinato processo aziendale;
• l’obbligo di segnalazione in caso di data breach - la violazione dei dati, dovuta ad un attacco informatico,  è da effettuare  entro 72 ore dall’identificazione dell’attacco.

Da qui si comprende l’importanza di dotarsi di soluzioni tecnologiche che possano prevenire le minacce, rilevare le compromissioni e la loro portata e fornire una risposta rapida. Se non si dispone di tecnologie o processi appropriati non si può determinare la gravità della violazione e, ancora più importante, non si può essere tempestivi nella segnalazione. Passate le 72 ore, si è soggetti a sanzione.

Come Gencom può aiutare le aziende per gli adempimenti

Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali deve essere visto come un’opportunità per migliorare la sicurezza dei propri dati aziendali e la gestione del rischio. Opportunità che può portare notevoli vantaggi in termini di risparmio di risorse, efficienza dei processi, incremento del business e della competitività sul mercato.

Per cogliere i benefici del GDPR, occorre essere tempestivi nella definizione e mappatura delle aree aziendali soggette al cambiamento.