News
21/02/2018

GDPR, questo sconosciuto


GDPR (EU) QUESTO SCONOSCIUTO - 7 punti chiave per iniziare a capire cosa cambierà dopo il 25 maggio 2018.

  1. CHIAMIAMOLO CORRETTAMENTE: Prima di tutto occorre imparare a chiamare correttamente il GDPR ossia “General Data Protection Regulation”. Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) con codice 2016/679. Questa novità abroga interamente la direttiva 95/46/CE da cui era nato il famoso Decreto Italiano D.Lgs. 196/2003, altrimenti conosciuto come Codice della Privacy o meglio DPS/196. 
  2. COSA E’ IN VIGORE OGGI: In Italia sin dal 2003 l’applicazione del DPS/196 ha fatto lavorare molto le aziende in merito alla Security IT e la Data Privacy, sostanziali correzioni effettuate nel 2012 dal Governo tecnico dell’allora Presidente del Consiglio Mario Monti ne limitò il perimetro. Il DPS/196 tracciava le norme per la tutela dei Dati Sensibili nei rapporti tra le Aziende e nelle Aziende. Per “Dati Sensibili” si intendono quelle informazioni idonee a rivelare, tracciare ed elaborare: l'origine razziale ed etnica, lo stato di salute, le convinzioni religiose, filosofiche, le opinioni politiche, l'adesione a partiti, ai sindacati, ad associazioni od organizzazioni anche politiche…
  3. OCCORRE CESTINARE IL LAVORO FATTO IN PASSATO: Le attività effettuate in passato per rispettare le regole della Data Privacy del DPS/196 non sono da cestinare, anzi sicuramente sono i primi passi per le attività da eseguire per il governo e la Compliance verso il GDPR 2018.
  4. QUALE E’ IL PRIMO GRANDE CAMBIAMENTO: Un cambiamento importante apportato dal Decreto Europeo 2018 è legato al fatto che le norme da applicare sono state studiate per difende i Cittadini Europei e le loro Informazioni Personali non soltanto Sensibili. Il Regolamento risponde alle sfide poste dagli sviluppi tecnologici, dai nuovi modelli di crescita economica, nonché allo scopo di assicurare una maggiore tutela a tutti, affidando ai cittadini la possibilità di proteggere la divulgazione non autorizzata dei propri dati e, se il caso, tutelandoli “in punta di diritto”.
  5. OCCORRE PREOCCUPARSI DELLE SANZIONI: Il decreto GDPR prevede forti Sanzioni o comunque significative ed esemplari per tutta l’Europa, nel caso in cui si verifichino situazioni di gravi inadempienze, denunciate anche da singoli cittadini con specifiche prove a sostegno dell’esposto. Si segnala che è importante approfondire in qualunque modo la conformità della propria Azienda verso il Decreto GDPR, non per evitare le Sanzioni, ma per dimostrare di essere sia in Italia che in Europa, che nel Mondo, una Azienda con solide regole a tutela della Security dei dati dei propri dipendenti, dei propri clienti o fornitori. Questo in realtà significa aumentare il valore della Società rispetto ad aziende non conformi. 
  6. COME E’ FATTO IL GDPR (EU): La base di tutto il Decreto è il concetto di Accountability o meglio Responsabilizzazione. I legislatori di Bruxelles per evitare di generare faldoni e faldoni di regole tecniche ed organizzative per la difesa dei Dati, regole che in nessun modo avrebbero potuto riflettere le innumerevoli casistiche e le diversità di dimensioni e di mercato presenti, hanno seguito un modello molto Anglosassone, appunto quello della Responsabilizzazione o Accountability. Cosa significa è una complicazione? No tutt’altro. Ogni azienda per iniziare a fare un piano che la renda adempiente alle nuove regole della Data Privacy, dovrà eseguire un approfondimento con modalità RISK BASE, ossia partendo dalla “valutazione dei rischi” per esempio di un processo che esegue il trattamento di dati personali critici (p.e.: Paghe e Contributi). Se il rischio di perdita o trafugamento delle informazioni è elevato tale processo aziendale deve essere difeso, tali difese devono essere tracciate da apposite documentazioni, devono prevedere verifiche e piani di adeguamento periodici (Descritti appunto nei Registri del Trattamento).
  7. ATTENZIONE AL RISCHIO DEL FAI DA TE: Non è possibile in 2.000 battute di stampa descrivere tutte le interessanti e stimolanti novità del decreto GDPR, esse vanno dal concetto di DATA BREACH NOTIFICATION entro 72 ore, alla limitazione della Ritenzione del Dato, alla nomina di un DPO (Data Protection Officer), al Diritto all’Oblio del cittadino che può decidere di far eliminare le proprie Informazioni personali da un DB di una azienda che non offre adeguate garanzie. Per tutte queste adempienze, occorre evitare di lavorare da soli, magari affidandosi a pretenziosi Self Assessment GDPR o ad assurdi KIT di Auto Compliance acquistati per pochi Euro in Internet. Questo modo di rispettare il decreto non ha nessun valore e non è idoneo ad affrontare attività di AUDIT del Garante. Affidatevi e fatevi dare chiarimenti da specialisti sia Legali, che Organizzativi che Tecnologici. Loro vi devono permettere innanzitutto di comprendere, poi vi devono accompagnare in un percorso che renderà la vostra Azienda: diversa, più sicura, più stimata e più… Europea.


< Torna all'elenco

LI ABBIAMO AIUTATI A CRESCERE...