Mancano pochi mesi all’entrata in vigore del GDPR (General Data Protection Regulation), il Regolamento Ue 2016/679 che disciplina la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, ed è quindi ormai assolutamente perentorio (dal 25 maggio 2018) per tutte le aziende adeguarsi.
La digitalizzazione e gli sviluppi tecnologici che stanno rendendo ormai più agili e veloci tutte le attività all’interno di un’impresa, richiedono anche maggiori garanzie di sicurezza per tutti i dati che riguardano i soggetti coinvolti. La nuova normativa non deve essere vista dalle aziende come un semplice obbligo, che comporta dei costi, bensì come un’opportunità di acquisire una metodologia che permetta di migliorare i propri processi.
I vantaggi per le aziende del GDPR sono:
• Razionalizzazione dei processi e delle procedure: molte PMI, nella ricerca frettolosa dei vantaggi competitivi che porta una maggiore digitalizzazione, hanno implementato procedure, infrastrutture tecnologiche sempre più aperte e connesse, ma in modo disordinato o disomogeneo, con forti lacune in area sicurezza. Per questo è meglio mettere ordine e riorganizzare, curando e migliorando l’aspetto dell’automazione dei dati, dei processi e della sicurezza nella sua globalità.
• Maggiore protezione dei dati che sono il cuore di ogni business: il GDPR nasce proprio considerando il panorama ormai incontrollabile di cyber attacchi e minacce, sempre più gravi, al patrimonio informatico e alla privacy di manager e imprese. In un contesto sempre più connesso, dove IT e IoT entrano sempre di più nella vita di tutti i giorni, sono i dati il punto di partenza di qualsiasi business, e come tale vanno protetti.
• Garanzia dei dati significa maggior fiducia da parte del cliente: Dato che il GDPR impone che ogni nuovo servizio o processo aziendale che utilizza i dati personali deve prendere in considerazione la protezione dei medesimi prima della sua implementazione, le aziende devono essere in grado di garantire un determinato grado di sicurezza e dimostrare il costante monitoraggio della protezione dei dati. Essere in grado di creare prodotti o servizi che facciano sentire al sicuro il cliente nell’usarli significa garantire il successo del business.
Ma vediamo nel dettaglio in cosa consiste il GDPR e cosa comporta per le aziende.
Le novità del GDPR rilevanti per le aziende
I punti salienti del GDPR sono:
1. La gestione e l’uso dei dati personali richiede una totale trasparenza;
2. Il trattamento e la raccolta dei dati personali è limitato a scopi legittimi specifici;
3. I singoli individui possono correggere i propri dati personali o richiederne l’eliminazione;
4. L’archiviazione dei dati personali è limitata al solo tempo necessario allo scopo per cui sono stati raccolti;
5. Tutti i dati personali devono protetti attraverso pratiche di sicurezza appropriate.
Oltre a questi principi essenziali il Regolamento che entrerà in vigore il 25 maggio ha una caratteristica che rovescia la prospettiva della disciplina di riferimento, concependo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del titolare del trattamento, la cosiddetta “accountability”.
Il criterio dell’accountability
Se fino a questo momento gli adempimenti erano basati sulla logica dell’effettivo abuso dei dati raccolti, ora il paradigma è rovesciato. Prima si era sanzionati se gli adempimenti non erano stati applicati e se le autorità di controllo lo rilevavano e lo contestavano.
Dall’entrata in vigore del GDPR diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità. E’ importantissimo sottolineare che se un’azienda non organizza bene la gestione dei dati raccolti è punibile per questo semplice fatto, a prescindere dall’abuso dei dati che ne possa derivare.
In più mentre prima per accedere, modificare, integrare e cancellare i propri dati personali, la trafila risultava spesso complicata, ora le aziende devono agevolare l’esercizio di questi diritti.
E in caso di Data Breach il titolare del trattamento dovrà comunicare immediatamente eventuali violazioni dei dati personali al Garante.
Privacy by design, privacy by default
Sono due i concetti base del GDPR che cambiano la modalità di gestione dei processi aziendali in meglio.
Prima di tutto quello della Privacy by design: la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni, rendendo obbligatori meccanismi di protezione dall’inizio di un processo e per l’intera gestione del ciclo di vita delle informazioni.
Il secondo è quello della Privacy by default : le aziende devono prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa. Anche questo concetto implica una migliore gestione dei processi aziendali e un’attenta analisi dei rischi, perchè la privacy non è solo un semplice requisito legale ma diventa il presupposto delle attività di trattamento.
In particolare il Regolamento UE 2016/679 fa riferimento all’analisi del rischio per quanto riguarda tutte quelle nuove tecnologie che offrono una visione e un utilizzo sistematico di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato.
Sono quindi interessate tutte le aree aziendali che gestiscono dati di persone fisiche, come situazione economica, salute, preferenze personali, localizzazione, profili per il marketing.
Il GDPR è un investimento utile e necessario: come adeguarsi subito?
L’attuazione del GDPR è a tutti gli effetti un investimento per le aziende, perchè indispensabile per sostenere il proprio futuro nel mercato. Le soluzioni in cloud sono sicuramente quelle più vantaggiose per affrontare i cambiamenti in atto.
Una delle risposte più performanti arriva proprio da TeamSystem, che permette un approccio più lungimirante, garantisce un controllo totale e offre la possibilità di dimostrare in ogni momento le azioni proattive messe in atto, in linea con la nuova normativa.
Con Privacy in Cloud, un software fruibile in cloud e completamente integrabile con le altre soluzioni della piattaforma Teamsystem, potrete:
• Gestire in modo intuitivo l’anagrafica del Titolare del Trattamento e degli altri ruoli
• Gestire i trattamenti più complessi in totale libertà, descrivendoli in termini di finalità, categorie di dati, durata, modalità di raccolta, trasferimenti.
• Utilizzare gli strumenti per la creazione e la gestione dei documenti previsti dal Regolamento Europeo 2016/679
• Gestire le comunicazioni relative alla perdita o ai furti dei dati aziendali.
• Avere a disposizione un utile strumento di analisi dei rischi
