La normativa

 

Il Regolamento Generale sulla Protezione dei Dati [GDPR (UE) 2016/679] entrerà in vigore a partire dal 25 maggio 2018.

Il nuovo regolamento intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, offrendo una maggiore tutela alle persone fisiche e rendendo le aziende più responsabili nell’uso dei dati personali.

La protezione dei dati assume una posizione di prima linea tra i processi aziendali, con un impatto significativo sulla gestione delle informazioni personali relative a clienti, fornitori, partner e anche dipendenti.

Il GDPR riguarderà le grandi realtà (piattaforme di social network, mondo bancario e assicurativo, settore pubblico e multinazionali), ma anche le piccole e medie imprese che negli ultimi anni, grazie all’abbassamento radicale dei costi delle tecnologie, hanno iniziato a trattare, e spesso a profilare, grandi quantitativi di dati.

E le aziende saranno obbligate a rispettarle, altrimenti andranno incontro a sanzioni che possono essere anche abbastanza pesanti (fino al 4% del fatturato, max 20 Mln €).

Audit

L’Audit Privacy è una valutazione dei processi aziendali sul grado di rispetto della normativa vigente. Si può paragonare a un check up perché va fatto da un esperto indipendente, l’auditor, che potremmo paragonare al medico.

In caso di patologie, ovvero di riscontro di qualcosa che va perfezionato in azienda sul fronte della raccolta e trattamento dati, il medico-auditor (che deve essere un esperto di data protection sia a livello giuridico che informatico) prescrive le “cure” del caso.

L’audit dal punto di vista pratico consiste in una intervista al titolare del trattamento dati in azienda, che si svolge periodicamente. Le domande sono dirette a conoscere in che modo i dati vengono raccolti e trattati: alle aziende viene chiesto per esempio se esistono già dei sistemi di sicurezza attivi volti a proteggere i dati conservati, dei sistemi di backup, firewall, antispam.

Attenzione: l’audit e il regolamento GDPR non riguarda solo gli archivi digitali, ma anche quelli cartacei!

L’audit non dovrà trascurare anche questo aspetto, situazione frequente nella Pubblica Amministrazione e nelle cliniche, dove sono conservati dati sanitari e quindi, sensibili.

Perché è Importante Farlo?

Per capire quanto sia importante l’Audit Privacy facciamo un passo indietro per focalizzare meglio il quadro d’insieme. Il ruolo del responsabile della protezione dei dati (il privacy officer) nel nuovo Regolamento europeo ha un ruolo proattivo. È sua responsabilità la gestione dei dati aziendale: dalla prevenzione del rischio di violazioni (per evitare sanzioni), fino alla gestione delle eventuali violazioni.

In altre parole, la norma europea implica per le aziende italiane un ribaltamento della mentalità normativa per come era vista sino ad oggi: da obbligo a processo aziendale.

Il primo passo per mettersi a norma, dunque, è l’Audit, con lo scopo di:

  • Verificare il grado di conformità alla normativa vigente, che non è più il Dlgs 196/2003 ma il Regolamento UE;
  • Verificare il grado di conformità alle privacy policy aziendali che tutti i dipendenti sono tenuti ad osservare;
  • Verificare la presenza di un privacy officer con competenze in ambito di compliance aziendale;
  • Verificare la possibilità di affidare a un fornitore di servizi qualificato la gestione e/o il trattamento di dati;
  • Verificare l’efficacia di azioni correttive a seguito di “non conformità”.

Adeguamento

A valle del processo di audit verrà redatta da noi una relazione dove faremo una “fotografia” della situazione reale del Vostro comparto IT. Andremo ad evidenziare sia le situazioni già ottimizzate in ottica GDPR, sia le falle ancora aperte da sanare, per essere in regola con il nuovo regolamento.

Dall’analisi di tutti quegli aspetti migliorabili, proporremo degli interventi risolutivi, in modo tale da non incorrere nelle sanzioni già viste.

Contattateci immediatamente per adeguare il comparto IT della Vs. attività al nuovo GDPR!