GDPR, ovvero General Data Protection Regulation, è il Regolamento Europeo 2016/679, che nasce per difendere i diritti e le libertà fondamentali dei cittadini europei in relazione ai loro dati personali. Entrerà in vigore il 25 maggio 2018 in tutta l'Unione Europea ed alle aziende non basterà avere la sede principale fuori dai confini UE per essere estranee a questa normativa.
Il testo di tale regolamento impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione e un approccio proattivo in materia di gestione delle informazioni. L’obiettivo è tutelare i cittadini riconoscendogli il diritto alla portabilità dei dati, all'oblio e ad essere informati in modo tempestivo, trasparente, leale e dinamico sui trattamenti effettuati alle informazioni e su eventuali violazioni (“data breach”, violazione di dati).
Il regolamento comporta anche un cambiamento culturale: difendere i dati significa difendere le persone, l’identità e la libertà delle stesse.
Le aziende dovranno dotarsi di una compliance molto più strutturata. La protezione dei dati personali diventa un asset strategico che deve essere valutato già nel momento di progettazione di nuove procedure, prodotti o servizi, secondo i principi “data protection by design” e “data protection by default”. Dovranno quindi tenere traccia di tutto il ciclo di vita dei dati e dei trattamenti a cui vengono sottoposti, in modo tale da averne completo controllo.
Cambiano poi i tempi di notifica all'autorità competente, che diventano di 72 ore. Entro tre giorni, quindi, chi subisce una violazione deve notificarla all'organo competente e anche al singolo soggetto coinvolto. Per questo motivo, ogni organizzazione deve dotarsi di strumenti di governance e controllo che vedano nell'immediato eventuali violazioni, in modo da scatenare la gestione in tempi brevi.
Chi non si adegua dovrà pagare sanzioni salate, fino a un massimo di 20 milioni di euro o al 4% del fatturato annuo globale (il più alto tra i due valori).
Nasce la figura del DPO, Data Protection Officer, che in azienda sarà il punto di riferimento per la gestione dei dati. Potrà essere una figura esterna o una persona interna, la sua presenza sarà obbligatoria nella pubblica amministrazione e nelle realtà che dovranno affrontare una gestione dati su larga scala.
1. Fare una valutazione puntuale di tutti i trattamenti che si effettuano in azienda. È necessario individuare tutti i processi che sottendono all'utilizzo del dato e all'accesso a questo.
2. Effettuare un'analisi del rischio.
3. Verificare come si gestiscono gli accessi: solo le persone autorizzate devono poter accedere e solo ai dati che le riguardano. Gestire il ciclo di vita delle utenze, anche quando i dipendenti cambiano mansione o lasciano l'azienda, rivedendo periodicamente i permessi.
4. Centralizzare la gestione del dato per aumentarne il controllo, soprattutto in caso di transito verso l'esterno o cessione a terzi, dotandosi di sistemi adeguati. È importante implementare soluzioni che traccino un quadro complessivo di tutti gli spostamenti e che tengano memoria di quali sono le abilitazioni delle persone.
5. Data protection by design, security by design: la protezione delle informazioni deve essere elemento fondante di tutto ciò che l’azienda andrà a realizzare e progettare. I requisiti di sicurezza devono essere gestiti come il business, in fase di sviluppo diventano una componente architetturale progettata insieme al software già dalla nascita.
Per capire a che punto è la tua azienda e chiedere una consulenza Fai il TEST QUI