CHE COS’È il GDPR, nuovo Regolamento Generale Europeo per la PROTEZIONE dei DATI!

normativa-gdpr-privacy

Quello che è importante sapere sulle NUOVE DISPOSIZIONI UE in materia di PRIVACY e SICUREZZA INFORMATICA: che COS’È il nuovo GDPR/RGPD Europeo, che andrà in vigore fra pochi mesi e, cosa comporterà per i responsabili di TUTTE le AZIENDE EUROPEE, Italia compresa.



La DATA di Entrata in Vigore del GDPR

Il 25 Maggio 2018 è la data fissata dalla UE entro la quale TUTTE le AZIENDE EUROPEE devono adottare il nuovo Regolamento Generale per la Protezione dei Dati o GDPR (General Data Protection Regulation).

DIFFERENZE rispetto alle ATTUALI disposizioni NORMATIVE sulla Privacy

La NOVITÀ del nuovo regolamento è che SPARISCE il CONCETTO di “MISURE MINIME”, fondamento dell’attuale normativa D.Lgs. 196/2003  su Privacy e Sicurezza, e  viene sostituito con quello di “MISURE ADEGUATE” del nuovo RGPD (Regolamento Generale Protezione Dati) UE 2016/679.

La grande RIVOLUZIONE però è l’introduzione del nuovo PRINCIPIO di “Accountability” su cui si basa tutto il quadro normativo del nuovo regolamento.

Tale principio ricopre la rinnovata figura del “Titolare del Trattamento” di MAGGIORE RESPONSABILITÀ su tutto quello che concerne la protezione dati con un rinnovamento anche delle sanzioni previste in caso di inadempienza.

In definitiva, se da un lato viene lasciata MAGGIORE DISCREZIONALITÀ, dall’altro è preciso dovere del Titolare del Trattamento DIMOSTRARE le RAGIONI che hanno determinato le sue scelte.

Questo determina un’azione molto ampia e strutturata che dovrà necessariamente agire su più AREE di INTERVENTO.

Le AREE su cui INTERVENIRE

Abbiamo redatto una MAPPATURA GRAFICA per agevolare l’individuazione di queste aree che, dovranno essere analizzate una ad una, per andare a colmare le lacune strutturali e di risorse, intervenendo laddove è necessario per raggiungere l’OBIETTIVO che mirerà a soddisfare le richieste del Nuovo Regolamento GDPR.

  • ORGANIZZAZIONE e RUOLI

Disegnare un ORGANIGRAMMA dove vengono definiti chiaramente i RUOLI e le RESPONSABILITÀ in materia di Privacy e Sicurezza

  • PERSONE e COMPETENZE

A monte di tutti i modelli e procedure è fondamentale prima di tutto introdurre in azienda la CULTURA della PROTEZIONE dei DATI, attraverso un’adeguata FORMAZIONE con l’obiettivo di elevare la SENSIBILITÀ e la RESPONSABILIZZAZIONE di tutte le persone coinvolte nell’uso e nel trattamento dei dati.  

  • PROCESSI e REGOLE

È sicuramente la parte più onerosa e impegnativa ma, indispensabile per dimostrare che sono state prese le “misure adeguate” e che vengono regolarmente attuate ed aggiornate.

Il Documento Programmatico della Privacy, presente nell’attuale normativa, viene profondamente modificato, diventa REGISTRO dei TRATTAMENTI e vengono introdotti nuovi PROCESSI e nuovi INDICATORI, quali la Privacy by design, la Portabilità dei Dati, la gestione dei Data Breach, la gestione dei Diritti degli interessati, l’elenco degli Applicativi e dei Database utilizzati, solo per citarne alcuni.

  • DOCUMENTI

A corredo delle procedure messe in atto, deve essere redatto un vero proprio MANUALE di GESTIONE della PROTEZIONE dei DATI che, potrebbe in qualche modo somigliare nella forma ad un “manuale di gestione della qualità”.

Inoltre devono essere resi disponibili e aggiornati tutti i contratti con le terze parti (es. assistenza, manutenzione e aggiornamento), la modulistica per il consenso al trattamento, le lettere d’incarico, le circolari informative per gli utenti etc…

  • STRUMENTI e TECNOLOGIE

Quest’area riveste sicuramente un’importanza superiore, non solo per essere in regola con le normative ma, e soprattutto, per fornire gli STRUMENTI e le TECNOLOGIEADEGUATE” a PROTEGGERE i DATI AZIENDALI.

È l’area in cui prevedere la maggior parte degli investimenti, per ADEGUARE le INFRASTRUTTURE in ambito di SICUREZZA INFORMATICA.

Sarà necessario quindi ANALIZZARE tutti gli aspetti e i processi informatici, software ed hardware quali: antivirus, back-up fisici e logici, misure di disaster recovery, protezione delle reti (firewall), cifratura dei dati (encrypting), controllo fisico degli accessi, adozione di tool di governance etc, per colmare i GAP infrastrutturali.

  • SISTEMA DI CONTROLLO

Come in qualsiasi sistema di gestione che si rispetti, la “quadratura del cerchio” è la definizione degli obiettivi e la misurazione dei relativi KPI (Key Performance Indicator).

In questo ci possono venire in aiuto strumenti di BI Business Intelligence che, attraverso la progettazione di cruscotti KPI per il monitoraggio delle compliance alle normative, ci possono fornire elementi utili a monitorare se quanto stiamo facendo è linea con quanto ci siamo prefissati.

Inoltre è sicuramente utile dotarsi di sistemi per la produzione e la gestione documentale DMS da utilizzare per la reportistica, che rendano facilmente reperibili e condivisibili documenti, procedure e manuali.

Il REGISTRO delle ATTIVITÀ di TRATTAMENTO

La tenuta del REGISTRO delle ATTIVITÀ di TRATTAMENTO è un adempimento prioritario cui è tenuto il Titolare del Trattamento in base al principio di ”Accountability”.

Di seguito alcune attività che devono essere tracciate nel Registro delle Attività:

  • Finalità del trattamento dei dati
  • Descrizione delle categorie di interessati al trattamento dei dati
  • Descrizione dei tipi di dato che vengono trattati
  • Misure di protezione dei dati adottati per quel trattamento
  • Base giuridica del trattamento (facoltativo)
  • Descrizione degli Applicativi e dei Database utilizzati (facoltativo)

Il Registro delle attività di trattamento non deve essere visto solo come un adempimento, bensì uno strumento utile a mappare in maniera ordinata e precisa, strumenti e metodi operativi, come i DataBase e le misure di protezione, utilizzati nel processo di trattamento oltreché a costituire il più importante documento atto a provare che il Titolare del Trattamento ha adempiuto alle direttive del Regolamento.

Nasce una nuova figura: il DPO

Il GDPR prevede anche la possibilità di introdurre un nuovo ruolo nell’organigramma: il Data Protection Officer (DPO).

Il DPO è una figura specialistica, che viene nominata dal Titolare del Trattamento, il cui compito è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di controllo e i diretti interessati.

La designazione del DPO è obbligatoria solo in alcuni casi come ad esempio: i trattamenti di dati effettuati su larga scala, o comandati da una Pubblica Autorità, o che riguardano particolari categorie di dati sensibili.

La nomina di un DPO è facoltativa in tutti gli altri casi, tuttavia si consiglia l’adozione di questa prassi anche alle aziende non obbligate per agevolare l’applicazione delle regole.

Che cosa s’intende per PRIVACY by DEFAULT e PRIVACY by DESIGN?

Il nuovo Regolamento definisce meglio anche due concetti che erano già presenti nel Codice di Tutela dei dati personali, la Privacy by Default e la Privacy by Design.

Per Privacy by Default la nuova normativa intende distinguere tutto quello che è da fare per tutelare la vita privata del cittadino a prescindere.

Con la Privacy by Design s’intende invece che, nel “disegnare” un nuovo processo aziendale, si deve sempre e comunque prevedere la parte che riguarda la protezione dei dati.

Per fare un ESEMPIO relativo alla Privacy by Default, metti il caso che sei una clinica privata, che ha un’area riservata del sito dove si possono raccogliere i dati personali dei tuoi pazienti e scaricare i referti. Per il principio della Privacy by Default devi comunque avere, a prescindere, una procedura ben definita di acquisizione, trattamento, protezione e diffusione dei dati che hai raccolto atta a garantire il rispetto della Privacy in materia di dati sensibili.

Il PRINCIPIO di NECESSITÀ

 In base a questo principio, che riprende il principio di necessità già stabilito dall’art. 3 del codice della Privacy, si stabilisce che i dati che vengono acquisiti e trattati devono essere SOLO quelli STRETTAMENTE NECESSARI allo scopo.  

Se, per esempio, devi raccogliere i dati da inserire in una mailing list da utilizzare per l’invio di newsletter commerciali, non puoi chiedere dati tipo data di nascita o nr. di cellulare, poiché non sono strettamente necessari per le tue finalità.

CONCLUDENDO

Visti anche i recenti episodi di Attacchi Informatici ad opera di Hackers, come ad esempio i famigerati Ransomware Cryptolocker e Petya, che hanno colpito indiscriminatamente aziende grandi e piccole in tutto il mondo, si è reso necessario introdurre delle nuove regole per indurre le aziende a PROTEGGERSI.

Il nuovo RGDP o GDPR nasce non tanto con finalità di controllo, quanto per introdurre nelle aziende una CULTURA più consapevole dei danni che possono arrecare le PERDITE di DATI.

Anche se la data di entrata in vigore, 25 Maggio 2018, sembra lontana, è bene cominciare fin da subito pianificando per adeguare organizzazione ed infrastruttura per le quali potrebbe essere necessario parecchio tempo.

E RAMMENTA!

…SE SI DISTRUGGE UN CAPANNONE, È UN GROSSO DANNO MA SI PUÒ SEMPRE RICOSTRUIRE!

SE PERDI I TUOI DATI NON TE LI RICOMPRI NEANCHE CON TUTTO L’ORO DEL MONDO!

    Articoli correlati
    wcm-world-manufactoring-class-10-pilastri
    I 10 pilastri del WCM: strategie di successo per le imprese!

    Cos'è il WCM o World Class Manufactoring? Il WCM - World Class Manufacturing è una...

    ai-intelligenza-artificiale-erp
    Software AI ERP: i vantaggi dell’AI applicata agli ERP

    L'evoluzione dei software gestionali ERP, potenziata dall' AI - intelligenza artificiale, sta ridefinendo il panorama...

    certificazione-esg-cosa-e-vantaggi-criteri
    La certificazione ESG come driver per l’innovazione sostenibile

    Le certificazioni ESG (Environmental, Social, and Governance) stanno diventando un elemento sempre più importante per...

    Contattaci