Si scrive troppo, e spesso il “troppo” confonde. E’ il caso del nuovo Regolamento Europeo sulla Data Protection che da una parte mette in ansia, dall’altra sta già costringendo le aziende a capire le mosse che da qui in avanti vanno fatte per mettersi in regola.

Proviamo a chiarire pochi decisivi punti.

Il GDPR sarà il nuovo modo di gestire la privacy. Il testo del GDPR è stato pubblicato il 4 maggio 2016 e sarà operative il 25 maggio 2018: più di 48 mesi per prepararsi.

Si è reso necessario per via del fatto che lo sviluppo di una florida economia fondata sui dati sfrutta le funzionalità tecnologiche per la loro raccolta, continua e massiva, la trasmissione istantanea ed il conseguente riutilizzo. Questo ci espone a nuovi rischi poiché i dati rappresentano la proiezione digitale di noi come persone e di noi come imprese, aumentando quindi in modo esponenziale anche la nostra vulnerabilità. Vengono così introdotte nuovi obblighi e nuove sanzioni che impongono alle aziende l'adozione di specifiche misure per la protezione dei dati personali.

La principale differenza, rispetto al passato, è che gestire la "privacy" all'interno di un’impresa non potrà più essere un semplice adempimento.

Le attività fondamentali per preparare la tua azienda a fronteggiare il cambiamento sono i seguenti.

  1. Consapevolezza. Il primo passo è ricostruire e prendere coscienza tecnica delle vulnerabilità dell'azienda. Bisogna, praticamente, sponsorizzare un'indagine approfondita di tutti i sistemi interni e ed esterni allo scopo di identificare le fragilità e i rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità.
  2. Mappatura dei dati. Si passa quindi a una completa ed esaustiva mappatura dei dati per analizzare la portabilità degli stessi, senza dimenticare i diritti di accesso e di cancellazione. Per creare una buona mappatura è necessario scoprire e classificare i dati personali, le prime informazioni da proteggere. A tal proposito esiste una massima che nel documento ufficiale del GDPR è così sintetizzata: "You cannot protect what you don't know about."
  3. Monitoraggio. È fondamentale considerare il diritto delle persone di tracciare i dati di accesso, modificarli, cancellarli o trasferirli. Significa, in parole più semplici, che gli utenti possono richiedere alle imprese che possiedono dati sul loro conto, il diritto di rettificare, cancellare o trasferire i dati. Questo punto è decisive ai fini di evitare le multe più salate del GDPR, ovvero quelle che coinvolgono la violazione dei diritti della persona interessata. Le aziende hanno semplicemente bisogno di strumenti per dimostrare che le richieste vengono processate in modo tempestivo.
  4. Sicurezza. Che non sia più un semplice adempimento lo si capisce quando si passa ad analizzare la messa in sicurezza dei dati personali: rispetto alla normativa del nostro Paese (leggi Garante della Privacy), il testo europeo innalza significativamente il livello di protezione dei dati richiesto. Infatti "occorre attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato". E’ il punto più complesso e tecnico che obbligherà da un lato a verificare e garantire il corretto livello di protezione dei propri sistemi e processi, dall'altro a “certificare” l'assenza di vulnerabilità per i sistemi e per le applicazioni che tratteranno i dati sensibili già in fase di progettazione. E’ il punto che ha sollevato, e continuerà a farlo, grossi dubbi sulla specializzazione delle attività necessarie per rendere conforme alla norma i nostri sistemi.
  5. Notifica. Poiché l’infallibilità non è di questo mondo, sarà importante segnalare le violazioni in modo tempestivo. Nel caso di una violazione dei dati personali il responsabile del trattamento, entro e non oltre 72 ore dopo l'avvenimento, deve comunicare tale violazione all'autorità di vigilanza, “comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio." Questa documentazione consentirà all'autorità garante di verificare il rispetto della norma da parte del titolare del trattamento dei dati.

Buona sicurezza a tutti.