L’articolo è parte di un progetto editoriale integrato sviluppato con il partner di Agendadigitale.eu Esc2
–
Il Regolamento Europeo 2016/679 (GDPR) ha rivoluzionato il mondo della protezione dei dati personali. La normativa introdotta dall’Unione Europea sensibilizza e rafforza la protezione dei dati personali delle persone fisiche, armonizzando il quadro normativo dell’Ue e può rappresentare un’importante opportunità per quelle aziende che vogliono distinguersi sul fronte dell’offerta di una solida protezione dei dati dei loro clienti.
Il GDPR, ormai in vigore dal 25 maggio 2018, è stato armonizzato anche nel nostro paese con l’introduzione del Decreto n. 101 del 10 agosto 2018.
Pertanto, le aziende non hanno più scuse e dovranno adeguarsi alle nuove disposizioni in ambito privacy definitivamente in vigore dal 19 settembre 2018.
Le principali novità introdotte dal Decreto n. 101
- al Garante viene attribuito un ruolo di fondamentale importanza nell’emanazione di provvedimenti quali le regole deontologiche, le misure di garanzia e linee guida di indirizzo relative alle misure tecniche;
- l’età minima prevista per prestare il consenso è 14 anni;
- è stata introdotto “il diritto all’eredità del dato” in base al quale i diritti dell’interessato relativi a soggetti deceduti potranno essere esercitati da coloro che hanno un interesse proprio o agisce a tutela dell’interessato come mandatario o per ragioni di famiglia;
- 4 nuove tipologie di reato: la comunicazione e la diffusione illecita di dati personali, l’acquisizione fraudolenta di dati personali, la falsità nelle dichiarazioni al Garante e l’interruzione dei compiti o dell’esercizio dei poteri del Garante e l’inosservanza dei provvedimenti del Garante.
Con il GDPR si richiede al Titolare del trattamento una maggior grado di responsabilità, sia esso un’impresa che una Pubblica Amministrazione, attraverso un approccio basato sul rischio che tenga conto dei rischi per la sicurezza, i diritti e la libertà degli interessati.
La gestione dei dati personali come opportunità
La gestione dei dati personali non rappresenta più un mero adempimento normativo, ma diventa un’opportunità per garantire la data protection.
L’adozione di un modello Organizzativo di Gestione e Controllo della Privacy adeguatamente strutturato, permette in qualsiasi contesto di affrontare e superare le problematiche correlate a violazioni dei dati o attività di tipo ispettivo condotte dall’Autorità Garante, mitigando i rischi di tipo operativo, reputazionale, economico e sanzionatorio.
Con il GDPR, sono state introdotte sanzioni amministrative decisamente elevate che possono arrivare fino a 20 milioni di Euro o il 4% del fatturato annuo mondiale, se superiore, per le imprese
Con l’introduzione del nuovo Decreto n.101 è stato previsto che sarà compito del Garante stabilire le regole per l’applicazione delle sanzioni amministrative e, inoltre, è stato introdotto un periodo di 8 mesi in cui il Garante, nel comminare eventuali multe, dovrà tenere conto del periodo transitorio necessario per adeguarsi alla nuova normativa.
Pur avendo a disposizione un periodo transitorio di 8 mesi, le aziende che ancora non si sono conformate alla normativa privacy o che non hanno neppure dato avvio al processo di adeguamento sono già fuori tempo massimo in quanto garantire la compliance nell’ambito della protezione dei dati personali non è un argomento che si affronta a cuor leggero dovendo valutare numerosi aspetti del business aziendale.
Infatti la capacità di garantire una solida protezione dei dati diventa sempre più un fattore “distintivo” ed un elemento “abilitante” per il business delle aziende. Per realizzare queste opportunità è però necessario affidarsi al supporto di consulenti in grado di offrire una visione olistica della sicurezza delle informazioni e di supportare le aziende nell’adozione di misure di Cyber Security conformi alla normativa sulla protezione dei dati personali, mettendo in campo misure e iniziative di business atte a garantire la totale sicurezza delle informazioni, attestando le decisioni intraprese in caso di verifiche ispettive dell’Autorità.
Adeguamento al GDPR, un’azione su due fronti
L’attività di adeguamento al GDPR implica l’agire principalmente su due fronti, ossia quello che insiste sulla ricerca della piena compliance alla normativa in termini organizzativi e procedurali, per arrivare a quello relativo all’adeguamento delle tecnologie e delle soluzioni a supporto della data protection.
Da un lato infatti, è indispensabile l’adozione di misure procedurali e organizzative volte a definire ed implementare la documentazione riguardante le procedure di gestione dei dati personali e dei casi di violazione degli stessi, l’aggiornamento della contrattualistica, la ripartizione di ruoli e responsabilità (attraverso ad esempio, la nomina di alcune figure chiave delineate nel GDPR), nonché la formazione e l’aggiornamento costante di tutte le figure professionali aziendali coinvolte nel trattamento dei dati.
Dall’altro lato è necessario adottare tecnologie idonee a prevenire potenziali violazioni dei dati, attraverso l’impiego, ad esempio, di sistemi di data masking e data encryption adeguati alla protezione di informazioni sensibili, durante tutto il loro ciclo di vita.
Nel corso dell’esperienza ESC2 siamo giunti a un’attenta applicazione delle best practices di data protection e information security, mutuate dai principali standard internazionali di settore. Ci occupiamo da anni di Privacy e Data Protection con un approccio in grado di bilanciare misure organizzative, procedurali e tecnologiche.
Serve infatti una visione della security come processo integrato, basato sull’adozione di metriche e obiettivi comuni, tenendo conto delle esigenze di business: è quello che ESC2 propone e che viene definito come l’adozione del “Sistema Sicurezza”. Con il “Sistema Sicurezza” i processi di Privacy e Information Security vengono integrati attraverso un’analisi puntuale dei rischi relativi alla sicurezza tecnologica e organizzativa delle aziende, diffondendo conoscenza e consapevolezza sulle tematiche privacy.
Il modulo Infosync Itrm
A supporto dei processi di adeguamento al GDPR e di Risk Management, ESC2 ha quindi sviluppato un software che impiega una piattaforma modulare. Attraverso il modulo GDPR della Suite Infosync Itrm è possibile definire i ruoli e le responsabilità Privacy, compilare il registro dei trattamento del Titolare e del Responsabile, effettuare l’analisi del rischio privacy e la valutazione di impatto, implementando e snellendo così i processi a supporto della compliance. Attraverso il servizio di Responsabile della Protezione dei dati (DPO) esterno, le aziende 0 possono quindi garantire l’osservanza della normativa.
L’articolo Decreto 101 Gdpr, trasformare in opportunità l’adempimento: le best practice ESC2 proviene da Agenda Digitale.