Affrontare il cambiamento
Perchè aspettare ?
Le nostre mailstone per un rapido approccio alla gestione GDPR e per una veloce roadmap senza problemi.....
- Comprendere come i nuovi obblighi previsti da GDPR impatteranno sulle attività (Analisi DPIA ove ritenuto necessario);
- Determinare quali sono e dove si trovano i dati personali e/o sensibili e come sono messi in sicurezza;
- Nominare il Data Protection Officer (ove ritenuto necessario);
- Rivedere tutte le informative e le richieste di consenso privacy;
- Rivedere i processi di gestione dei dati personali, conservazione, rettifica e cancellazione su richiesta dalle persone interessate.
Come mettere in atto questo processo? Ecco 5 punti da cui partire.
- Consapevolezza. È opportuno conoscere tutte le vulnerabilità dell'azienda, avviando un'indagine approfondita di tutti i sistemi interni e/o esterni per avere piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità.
- Mappatura dei dati. È necessaria per analizzare la portabilità dei dati, i diritti di accesso e di cancellazione. Per creare una buona mappatura è necessario scoprire e classificare i dati personali, le prime informazioni da proteggere. La conoscenza dei dati è alla base di GDPR: "You cannot protect what you don't know about."
- Monitoraggio. È fondamentale considerare il diritto delle persone di tracciare i dati di accesso, modificarli, cancellarli o trasferirli. Gli individui possono richiedere alle organizzazioni che possiedono dati sul loro conto, il diritto di rettificare, cancellare o trasferire i dati.
Perché è importante: le sanzioni più applicate sono per la violazione dei diritti della persona interessata, come per la mancata risposta o la fornitura di informazioni adeguate. L'interessato ha inoltre il diritto al risarcimento monetario dei danni. Le aziende hanno quindi bisogno di strumenti per dimostrare che le richieste vengono processate in modo tempestivo.
- Sicurezza. La messa in sicurezza dei dati personali non potrà più essere presa alla leggera: rispetto alla normativa italiana prevista dal Garante della Privacy, il testo europeo innalza significativamente il livello di protezione dei dati richiesto. Per la norma approvata dalla Comunità Europea "occorre attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato".
Cosa si intende? Il testo pone l'attenzione su "i rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati."
Si introduce inoltre il principio di Data Protection By Design che obbligherà da un lato a verificare e garantire il corretto livello di protezione, dall'altro l'assenza di vulnerabilità per i sistemi e per le applicazioni che tratteranno i dati sensibili già in fase di progettazione. - Notifica. Sarà importante essere sempre in grado segnalare le violazioni in modo tempestivo (data breach). Nel caso di una violazione dei dati personali il responsabile del trattamento, senza indebito ritardo (entro e non oltre 72 ore dopo l'avvenimento), deve comunicare tale violazione all'autorità di vigilanza. In sostanza "il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio." Questa documentazione consentirà all'autorità garante di verificare il rispetto della norma da parte del titolare del trattamento dei dati.
Queste nuove regole dovrebbero essere parte integrante del nuovo modo di valutare la gestione Aziendale (Privacy by Design privacy by Default).
Utilizzare strumenti informatici, processi e applicazioni per adeguarsi alle nuove normative e ridurre il rischio di incappare nei controlli previsti dal Garante Privacy.
Fonti Web: G-Learnig