Hai attuato la GDPR Compliance? Se non sai di cosa stiamo parlando, devi sapere che 19 maggio 2019 è scaduto il periodo di prima applicazione del Regolamento UE 2016/79 (GDPR) in cui il legislatore aveva previsto un periodo di tolleranza circa l’applicabilità delle sanzioni previste dalla normativa.
In generale, è opportuno svolgere alcune attività fondamentali per preparare la tua azienda ad affrontare il cambiamento. E’ necessario innanzitutto comprendere come i nuovi obblighi impatteranno sull’attività, determinare quali sono i dati sensibili, dove si trovano e se sono sicuri, e nominare un Data Protection Officer, se la situazione lo richiede. Inoltre, è consigliabile rivedere le informative sulla privacy e i processi di accesso ai dati, insieme alle richieste di rettifica e cancellazione richieste dagli individui.
GDPR Compliance, cosa fare per essere in regola
In generale, è opportuno svolgere alcune attività fondamentali per preparare la tua azienda ad affrontare il cambiamento. E’ necessario innanzitutto comprendere come i nuovi obblighi impatteranno sull’attività, determinare quali sono i dati sensibili, dove si trovano e se sono sicuri, e nominare un Data Protection Officer, se la situazione lo richiede. Inoltre, è consigliabile rivedere le informative sulla privacy e i processi di accesso ai dati, insieme alle richieste di rettifica e cancellazione richieste dagli individui.
GDPR Compliance, cosa fare per essere in regola
Di seguito 5 punti da cui partire per affrontare al meglio i cambiamenti introdotti dal GDPR e non farsi cogliere impreparati (o meglio, evitare di essere sanzionati per milioni di euro!)
1. Consapevolezza
E’ utile effettuare uno “screening” dell’azienda, in modo da identificare eventuali vulnerabilità e fragilità dei sistemi (sia interni che esterni). Lo scopo di questa indagine è quello di ottenere la piena consapevolezza dei rischi a cui l’impresa è esposta così da agevolare il processo di protezione dei dati e di adattamento alla nuova normativa.
2. Mappatura dei dati
“You cannot protect what you don’t know about”. La conoscenza dei dati è alla base del GDPR e la protezione di quelli personali lo scopo principale del regolamento. E’ pertanto necessario identificare e classificare i dati sensibili per poter creare una buona mappatura. Per dati sensibili s’intendono tutte le informazioni che, o a livello del singolo dato o a livello di un insieme di informazioni, rendono una persona identificabile.
3. Monitoraggio
Ogni individuo ha il pieno diritto di richiedere alle aziende di tracciare, modificare, cancellare o trasferire i suoi dati personali. In questo senso, l’attività di monitoraggio è fondamentale, in quanto le sanzioni più severe sono relative proprio alla violazioni dei diritti delle persone, come la mancata risposta o un ritardo nel fornire le informazioni richieste dal cittadino, che può reclamare in questo caso anche un risarcimento in denaro. Le imprese hanno perciò bisogno di strumenti adeguati per dimostrare la rapidità di processamento delle richieste.
4. Sicurezza
Il livello di protezione richiesto dal GDPR è molto più alto rispetto a quello della normativa italiana corrente. Le aziende devono dotarsi di misure specifiche atte a garantire la sicurezza dei dati, facendo particolare attenzione ai rischi presentati dal trattamento dei dati riguardo a modifica, perdita, distruzione e divulgazione non autorizzata dei dati personali. Nello specifico, tra le misure di protezione vi sono:
– pseudonimizzazione e cifratura dei dati sensibili
– capacità di ripristinare rapidamente l’accesso ai dati in caso di incidenti
– procedure per verificare l’efficacia delle misure tecniche di sicurezza adottate.
Viene inoltre introdotto il principio “Data Protection by Design” che obbliga a verificare da un lato, che gli strumenti informatici possano garantire il corretto livello di protezione, e dall’altro, la totale assenza di vulnerabilità di tali sistemi, già in fase di progettazione.
5. Notifica
Le violazioni dei dati personali devono essere segnalate in modo tempestivo all’autorità di vigilanza, entro e non oltre 72 ore dall’avvenimento, comunicando la descrizione della violazione, il tipo di dati interessati, le probabili conseguenze e le misure adottate per porre rimedio e attenuare gli effetti negativi.
Per avere maggiori informazioni su privacy e sicurezza dei tuoi dati consulta la nostra pagina riguardante il trattamento dei dati e scopri di più sul GDPR e cosa comporta nella sezione dedicata.
1. Consapevolezza
E’ utile effettuare uno “screening” dell’azienda, in modo da identificare eventuali vulnerabilità e fragilità dei sistemi (sia interni che esterni). Lo scopo di questa indagine è quello di ottenere la piena consapevolezza dei rischi a cui l’impresa è esposta così da agevolare il processo di protezione dei dati e di adattamento alla nuova normativa.
2. Mappatura dei dati
“You cannot protect what you don’t know about”. La conoscenza dei dati è alla base del GDPR e la protezione di quelli personali lo scopo principale del regolamento. E’ pertanto necessario identificare e classificare i dati sensibili per poter creare una buona mappatura. Per dati sensibili s’intendono tutte le informazioni che, o a livello del singolo dato o a livello di un insieme di informazioni, rendono una persona identificabile.
3. Monitoraggio
Ogni individuo ha il pieno diritto di richiedere alle aziende di tracciare, modificare, cancellare o trasferire i suoi dati personali. In questo senso, l’attività di monitoraggio è fondamentale, in quanto le sanzioni più severe sono relative proprio alla violazioni dei diritti delle persone, come la mancata risposta o un ritardo nel fornire le informazioni richieste dal cittadino, che può reclamare in questo caso anche un risarcimento in denaro. Le imprese hanno perciò bisogno di strumenti adeguati per dimostrare la rapidità di processamento delle richieste.
4. Sicurezza
Il livello di protezione richiesto dal GDPR è molto più alto rispetto a quello della normativa italiana corrente. Le aziende devono dotarsi di misure specifiche atte a garantire la sicurezza dei dati, facendo particolare attenzione ai rischi presentati dal trattamento dei dati riguardo a modifica, perdita, distruzione e divulgazione non autorizzata dei dati personali. Nello specifico, tra le misure di protezione vi sono:
– pseudonimizzazione e cifratura dei dati sensibili
– capacità di ripristinare rapidamente l’accesso ai dati in caso di incidenti
– procedure per verificare l’efficacia delle misure tecniche di sicurezza adottate.
Viene inoltre introdotto il principio “Data Protection by Design” che obbliga a verificare da un lato, che gli strumenti informatici possano garantire il corretto livello di protezione, e dall’altro, la totale assenza di vulnerabilità di tali sistemi, già in fase di progettazione.
5. Notifica
Le violazioni dei dati personali devono essere segnalate in modo tempestivo all’autorità di vigilanza, entro e non oltre 72 ore dall’avvenimento, comunicando la descrizione della violazione, il tipo di dati interessati, le probabili conseguenze e le misure adottate per porre rimedio e attenuare gli effetti negativi.
Per avere maggiori informazioni su privacy e sicurezza dei tuoi dati consulta la nostra pagina riguardante il trattamento dei dati e scopri di più sul GDPR e cosa comporta nella sezione dedicata.
