Siamo a disposizione per una prima valutazione gratuita della tua situazione aziendale e per fornirti la soluzione su misura per te!
Il nuovo Regolamento (UE)2016/679 per la Protezione dei Dati o GDPR (General Data Protection Regulation) non è tanto un insieme di normative quanto una GUIDA con Principi e Linee da adottare in materia i Protezione dei Dati Personali.
La data di applicazione fissata dalla Commissione Europa è il 25 Maggio 2018 ed entro quella data tutte le aziende Europee dovranno aver adottato il nuovo Regolamento. Precisiamo che, trattandosi di Regolamento e non di Direttiva, non è soggetta a “recepimento” da parte dei Paesi Membri; questo significa che non può essere modificato né prorogato se non dal Parlamento Europeo stesso.
Rispetto all’attuale normativa italiana sulla Privacy Dlgs 196/2003, che non sparisce completamente ma verrà “armonizzata”, viene sostituito il concetto di “Misure Minime” con quello di “Misure Adeguate”.
In definitiva viene lasciata maggiore libertà al Titolare del Trattamento in merito alle misure da adottare ma, con il nuovo “Principio di Accountability”, questi deve essere sempre in grado di DIMOSTRARE le ragioni che hanno determinato le sue scelte in funzione delle linee dettate dal GDPR.
Le sanzioni amministrative per le aziende che non si adeguano al GDPR sono, in alternativa:
1) fino a € 20.000,00;
2) fino al 4% del fatturato annuo.
Non sono poi da escludere possibili implicazioni penali previste dalla legge italiana per gravi inadempienze, le quali prevedono fino a 3 anni di reclusione.
Adeguarsi al GDPR non è però solamente l’ennesima “tegola burocratica” a cui le imprese europee nolenti o volenti dovranno sottostare, bensì un’occasione per introdurre in azienda una nuova cultura sul ruolo e sul valore dei dati, nonché una maggiore consapevolezza sull’importanza dei processi di trattamento dei dati personali e di tutela della loro sicurezza.
Volendo riassumere i comportamenti richiesti alle imprese, adeguarsi al nuovo Regolamento per la protezione dei dati personali comporta:
1) Mappatura dei dati;
2) Analisi dei rischi e delle lacune;
3) Nomine dei responsabili ed attribuzione dei ruoli tra cui il più rilevante è il nuovo ruolo del DPO (Data Protection Officer);
4) Documentare le misure adottate e tenerle aggiornate (registro dei trattamenti);
5) Adeguare l’infrastruttura operativa e tecnologica;
6) Formare adeguatamente il personale;
7) Informare le autorità in caso di violazione dei dati (data branch notification);
8) Mantenere aggiornato l’impianto complessivo di trattamento dei dati personali predisposto in azienda.
Il GDPR introduce una nuova figura nel quadro della normativa: il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati. Si tratta di un ruolo completamente nuovo che, riassunto in una parola, può essere definito un “Facilitatore” della Privacy da non confondere con il Titolare del Trattamento e i Responsabili del Trattamento che hanno altre responsabilità.
Il DPO può essere nominato sia internamente che all’esterno dell’impresa (mediante contratto di servizi), e la sua nomina è obbligatoria negli Enti Pubblici, mentre nelle aziende private risulta obbligatorio solamente in alcuni casi.
Un’ulteriore significativa novità introdotta dal GDPR è l’obbligo di “Informare le autorità in caso di Violazione dei dati (data breach notification)”, pertanto dal 25 Maggio 2018 non sarà più possibile “seppellire” una violazione dei dati trattati trattandola come attività interna alla struttura aziendale.
Il GDPR, infatti, prevede che una qualsiasi violazione che comporti un’alterazione, un accesso non consentito, una perdita o una diffusione non consentita dei dati debba essere notificata entro 72 ore da quando l’azienda ne sia venuta a conoscenza.
Oltre alla notifica, sarà anche necessario RENDICONTARE e DIMOSTRARE che si è fatto tutto il possibile per prevenire situazioni del genere (Registro dei Trattamenti), nonché quali siano state le azioni per ridurne l’impatto e quali i possibili danni derivanti dall’incidente avvenuto.
Questa è la classica situazione in cui la figura del DPO è fondamentale per gestire ed affrontare l’evento, coordinando le varie risorse e responsabili interni ed esterni e gestire il post-evento con l’Authority, dimostrando che le misure adottate, prima e durante l’evento, erano idonee ed adeguate al rischio che si poteva correre.
Il trattamento dei dati personali è per le imprese della nostra società tecnologicamente interconnessa una risorsa centrale nella strategia di praticamente ogni settore economico, pertanto la normativa si è adeguata per rispondere in maniera più opportuna ad uno scenario di rischio più complesso di quello passato. Oggi, infatti, il rischio per una PMI di essere vittima di un attacco HACKER è aumentato esponenzialmente e il GDPR va interpretato come un’occasione per intervenire sulle proprie difese, alzando il livello di sicurezza in maniera sistematica, guidata e consapevole.
I nostri suggerimenti rispetto alla GDPR, sono pertanto:
1. Non trattate l’argomento privacy e il GDPR con condiscendenza, si tratta di questioni molto serie che come tali vanno affrontate;
2. Prendetevi il tempo di capire approfonditamente ciò che implica l’entrata in vigore del GDPR per la vostra azienda e valutate i vari passaggi che dovrete affrontare, rivolgendovi al vostro IT manager e coinvolgendo anche i consulenti legali se avete dei dubbi;
3. Lavorate fianco a fianco con le Risorse Umane per essere certi che i vostri dipendenti capiscano appieno il processo messo in atto dall’azienda per proteggere i loro dati sensibili;
4. Verificate che i vostri dipendenti siano consapevoli di ciò che vi aspettate da loro quando si parla di protezione dei dati custoditi in azienda. Spiegate loro che i clienti dipendono anche dal loro impegno nel proteggere i dati proprio come loro dipendono dai responsabili delle Risorse Umane per la tutela delle loro informazioni personali;
5. Non date ai vostri dipendenti accesso a dati che non sono necessari allo svolgimento delle mansioni di loro competenza. Il nuovo GDPR prevede infatti che anche semplicemente leggere dati sensibili venga classificato come una violazione dei dati.
6. Se raccogliete dei dati… proteggeteli! Trattate tutti i dati come se fossero dati personali e evitate di raccogliere e dunque custodire dati non necessari al vostro business. I cybercriminali non potranno rubarvi ciò che non avete.
7. Usate il vostro rispetto per la privacy dei clienti a vostro vantaggio, fornendo informazioni precise su quali dati state raccogliendo, a quale scopo e per quanto tempo intendete conservarli. Non usate termini incomprensibili ma spiegatelo in modo semplice. Le persone avranno molta più fiducia in voi e nella vostra azienda se percepiranno la vostra onestà e trasparenza.
8. Assicuratevi che le password utilizzate siano univoche e mai condivise. Ciò rende più difficile il furto dei dati e protegge da accessi impropri a dati che portano a violazioni della privacy;
9. Utlizzate l’encryption per proteggere i dati da ladri e occhi indiscreti; tale tecnologia diventerà imprescindibile per adempiere ai requisiti del nuovo GDPR
10. Scegliete l’aiuto di esperti della materia per fare tutto nel modo migliore. La normativa è complessa e le responsabilità amministrative e penali sono elevate e non trasferibili!