Adeguarsi al GDPR: le cose da sapere

Il 25 maggio 2018 scadrà il termine massimo per adeguarsi al GDPR, il Regolamento Generale sulla Protezione dei Dati.

Il GDPR andrà a sostituire le diverse normative dei singoli Paesi Europei creando omogeneità in termini di protezione dei dati.
Ciò costituisce un passo in avanti in tema di standardizzazione delle politiche europee e pone le basi per la trasformazione delle imprese (anche relativamente alla trasformazione digitale in essere).

Il testo introduce cambiamenti importanti nella gestione dei dati sensibili per le aziende operanti all’interno dei confini dell’Unione Europea. Infatti coinvolge tutte le aziende che trattano dati relativi a persone residenti nell’Unione Europea, includendo anche quelle imprese non europee che elaborano dati di cittadini europei e che saranno obbligate a nominare un rappresentante interno all’UE.

Chi non riuscirà ad adeguarsi al GDPR incorrerà in sanzioni molto elevate, che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato annuale.

Le aziende dovranno quindi adottare misure idonee al cambiamento. Tuttavia il GDPR non prescrive un elenco di adempimenti, bensì lascia ad ogni ente titolare del trattamento, la libertà di attuare questo cambiamento in completa autonomia.

La valutazione dei rischi e del valore dei dati, la scelta delle misure di sicurezza da adottare per la protezione degli stessi, saranno valutati da ogni singola impresa e poi sottoposte ad un monitoraggio continuo.

Vediamo dunque due concetti espressi nel regolamento che delineano quali strumenti utilizzare per adeguarsi al GDPR.

Privacy by design e la privacy by default: cosa sono.

Con Privacy by designPrivacy by default, si impone alle aziende l’obbligo di adottare strumenti a tutela dei dati personali integrandoli nell’intero ciclo di un processo aziendale. Ogni azienda necessiterà di una procedura interna che disciplini le modalità di acquisizione, trattamento, protezione e di diffusione dei dati personali.

Nello specifico il concetto di Privacy by default sottolinea la necessità di garantire agli utenti la tutela della privacy per impostazione predefinita. Stabilisce che le imprese debbano trattare i dati personali solo nella misura necessaria e sufficiente ad erogare i servizi oggetto dell’accordo, per il periodo strettamente necessario a tale fine.

Invece la Privacy by design intende che la protezione dei dati debba avvenire fin dal disegno o progettazione di un processo aziendale. Ciò implica la messa in atto di determinati meccanismi volti a garantire la protezione dei dati acquisiti e la protezione degli utenti.

Per dati personali acquisiti si intende qualunque informazione relativa ad un individuo, collegata alla sua vita privata, professionale e pubblica, e può riguardare qualunque cosa, che sia un nome, una foto, indirizzi email, dettagli bancari, le informazioni mediche, gli interventi sui social, indirizzi IP di computer.

Come è stata recepita la GDPR in Italia

Secondo una recente indagine, sembra che le imprese tricolore abbiano recepito molto bene la GDPR: l’85% delle aziende italiane ha già avviato lavori di adeguamento e questo dato ci colloca fra i Paesi Europei più preparati sul nuovo regolamento, insieme al Regno Unito, Francia, Germania, Spagna e Paesi Bassi.

Purtroppo sono ancora molte le aziende che non stanno apportando i dovuti cambiamenti al modo in cui le informazioni personali vengono raccolte e protette, mettendo a rischio se stessi e i propri clienti.

Speriamo che per il termine previsto ogni impresa sia stata in grado di adeguarsi a ciò che il regolamento impone: se rappresenti un’azienda che sta cercando di avviare i lavori di adeguamento, ma non sai da che parte iniziare, contattaci!

Questo articolo è stato scritto da:

Erika Buzzo

Digital Strategist, Namu srl

dal Blog