Soccer team in a huddle

Come prepararsi alla GDPR, il nuovo regolamento sulla protezione dei dati

16, Giugno, 2017 di Giuseppe Lillo

GDPR

Manca circa un anno all’entrata in vigore del nuovo Regolamento generale sulla protezione dei dati dell’Unione Europea, meglio noto come GDPR (General Data Protection Regulation). Entrerà in vigore il 25 maggio 2018 e da quel momento tutte le imprese che gestiscono dati personali di cittadini europei (di fatto tutte, se consideriamo che sono sufficienti i dati dei dipendenti per far scattare l’onere normativo) dovranno avere fatto un salto di qualità nella tutela di quelle informazioni. La GDPR si è posta infatti due obiettivi con conseguenze rilevanti per le imprese: garantire ai cittadini che i loro dati personali siano raccolti e gestiti solo nei casi e negli ambiti davvero necessari e che siano sempre protetti con adeguati sistemi di sicurezza.

La GDPR gioca quindi su due livelli distinti ma complementari: i processi aziendali e le tecnologie. I primi definiscono quali dati raccogliere, perché e cosa farci. Le seconde sono strumentali alla conservazione, elaborazione e protezione delle informazioni. E sia i primi sia le seconde devono essere compliant con la GDPR, pena sanzioni che arrivano sino a 20 milioni di euro o al 4 percento del fatturato annuo.

GDPR

Per le aziende diventa indispensabile rivedere i propri processi e capire quali sono toccati dalla GDPR. In particolare la normativa indica che il Data Controller (la persona o l’entità che determina “gli scopi e i mezzi del trattamento dei dati personali”, il titolare del trattamento per usare la terminologia italiana) deve garantire che le informazioni siano gestite “in modo lecito, corretto e trasparente nei confronti dell’interessato”. Ma deve anche mettere in atto “misure tecniche e organizzative adeguate” per garantire la compliance del trattamento e deve anche essere in grado di dimostrare di averlo fatto. E se il Data Controller non gestisce direttamente i dati personali ma ne affida il trattamento ai cosiddetti Data Processor (in italiano i responsabili del trattamento), deve selezionare solo quelli “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” perché il trattamento sia compliant alla GDPR.

Chiunque abbia un ERP, un sistema di CRM o una piattaforma HR gestisce di certo una grande mole di informazioni che sono nell’ambito della GDPR. Deve quindi valutare la sua esposizione al rischio, con varie possibili azioni che vanno dal vulnerability assessment per trovare (e risolvere) falle nella propria rete al monitoraggio costante di chi accede a quali informazioni. Con la GDPR in arrivo, non è il caso di rimandare troppo.

 

Giuseppe Lillo
Finance Presales Associate

GDPR

Tags: