Tra mito e realtà: tutto quello che c’è da sapere sul regolamento GDPR per la protezione dei dati
Know-how e consigli

Tra mito e realtà: tutto quello che c’è da sapere sul regolamento GDPR per la protezione dei dati

L’introduzione del nuovo Regolamento Generale sulla Protezione dei Dati, conosciuto come GDPR (General Data Protection Regulation) implica l’arrivo di nuove ed importanti normative per quanto riguarda la sicurezza dei dati in tutta Europa. Le nuove regole, che sono state pensate per apportare il più grande cambiamento nella protezione dei dati degli ultimi 20 anni, entreranno in vigore il 25 maggio 2018 con l’intento di dare ai cittadini dell’Unione Europea più controllo sui propri dati e su come vengono utilizzati.

La finalità di questo nuovo regolamento è quella di affrontare in modo efficace le criticità legate alla crescita della tecnologia cloud e alla diffusione di internet, che ci ha portato a condividere le nostre informazioni personali con eccessiva facilità e senza pensarci troppo. Il nuovo regolamento GDPR vuole rafforzare l’attuale legislazione, stabilire delle misure di applicazione più severe e fare in modo che le aziende siano più consapevoli di come   trattare le informazioni personali che raccolgono. Ma non solo, l’obiettivo è anche stabilire un quadro di riferimento per le imprese, rendendo le leggi sulla protezione dei dati uguali per tutti e fornendo maggiore chiarezza oltre ad un ambiente più facile in cui operare.

Il regolamento GDPR non si applicherà solo alle società che svolgono la loro attività nell’Unione Europea, ma riguarderà le aziende che avranno rapporti commerciali o analizzeranno i dati dei cittadini della UE.

Con l’entrata in vigore del GDPR che si avvicina rapidamente, diventa fondamentale essere certi che la propria attività adempia alle nuove norme. Chi non sarà in grado di adeguarsi al GDPR potrebbe rischiare sanzioni fino a 20 milioni di euro o pari al 4% del volume d’affari globale annuo, con applicazione dell’importo più elevato.

Quindi, cosa è necessario fare per essere in regola con i requisiti richiesti dal GDPR a partire dal prossimo maggio?

 

Autovalutazione

È importante individuare in anticipo come il GDPR potrà incidere sulla vostra azienda, così da mettersi nella condizione di creare un piano d’azione per adeguarsi alla nuova normativa.

Affrontare la questione in modo strategico

Le implicazioni del GDPR molto probabilmente avranno effetti su tutti i reparti della vostra azienda, quindi conviene affrontare la questione tutti insieme e creare una strategia unificata. Assicuratevi di prendere in considerazione tutti i dati che la vostra azienda raccoglie e sforzatevi di capire dove gli stessi vengono archiviati. È importante sapere come questi dati si muovono all’interno della vostra azienda e chi ha accesso ad essi. Inoltre, dovete essere sicuri di aver ottenuto uno specifico consenso per l’utilizzazione di tali dati. Il consenso tacito, le caselle preselezionate o la mancata azione dell’utente non sono sufficienti. Inoltre, controllori incaricati verificheranno che i dati siano usati in modo trasparente e per una specifica finalità.

A seconda della grandezza e delle esigenze della azienda, quando i cambiamenti entreranno in vigore, valutate di creare un apposito team interno oppure nominate un responsabile specifico per verificare la conformità al GDPR. Tali azioni saranno di inestimabile valore per un adempimento alla normativa senza problemi o sorprese.

Tenere un registro delle attività

Documentate il modo in cui le procedure vengono controllate per essere sicuri che tutti i passaggi siano eseguiti correttamente. È anche importante creare un piano di azione contro i reati: qualsiasi violazione dei dati deve essere riportata all’autorità competente entro 72 ore. Non fare questo significa incorrere in una sanzione fino a 10 milioni di euro o pari al 2% del fatturato. Può essere inoltre importante tenere dei corsi di formazione regolari per gli impiegati, affinché possano apprendere le corrette procedure per la gestione dei problemi e siano consapevoli dei rischi, ma anche introdurre controlli interni per le attività in corso e revisioni per le politiche delle risorse umane.

 

L’implementazione del GDPR e la sua imminente entrata in vigore  richiede la necessità di sfatare una serie di miti su ciò che è lecito fare, e cosa no, per rendere conforme la propria azienda. È fondamentale sapere con chiarezza cosa richiede il GDPR e come fare per adeguarsi.

Mito 1: riguarda solo la sicurezza dei dati digitali

Spesso si pensa che il GDPR sia pensato solo per la raccolta e la conservazione dei dati digitali, ma in realtà si estende a molto altro. Il nuovo regolamento riguarda infatti tutti i dati, compresi quelli conservati su supporti cartacei. I documenti su carta devono essere conservati in modo da adempiere alla normativa GDPR esattamente come avviene per i dati sugli hard disk.

Una parte dei requisiti del GDPR  include il diritto  ad avere i propri dati cancellati o il cosiddetto diritto all’oblio, cioè il diritto che l’informazione venga dimenticata se non più rilevante o obsoleta. Se non sarete in grado di gestire queste informazioni su documentazione cartacea,  correrete il rischio di non adempiere al GDPR. In più, c’è la possibilità che tali documenti stampati finiscano nelle mani sbagliate, rappresentando lo stesso pericolo di un hacker che entra nella rete aziendale.

Investire in schedari e classificatori con serratura e adottare un sistema di archiviazione per i documenti cartacei risulterà particolarmente utile quando bisognerà reperirne uno.

 

Mito 2: tanto è un regolamento facile da implementare

Sebbene possa essere più facile da gestire nel lungo periodo, il regolamento per la protezione dei dati probabilmente richiederà del tempo per essere implementato nella vostra azienda. Per questo è importante iniziare a prendere i primi provvedimenti per essere in linea con la normativa già adesso. Così quando il GDPR sarà in vigore, la vostra azienda sarà già pronta al cambiamento.

 

Mito 3: è solo una questione di multe

Il nuovo regolamento sulla protezione dei dati sta cambiando il modo con cui i dati personali vengono utilizzati dalle aziende. L’attuale atto relativo alla protezione dei dati personali permette alle imprese di utilizzare tali informazioni, ma il nuovo GDPR cambierà il modo in cui verranno usate. La nuova normativa permetterà alle persone di accedere alle informazioni che le aziende possiedono su di loro. Nella maggior parte dei casi, le società dovranno essere in grado di fare seguito alla richiesta entro un mese.

Data la complessa natura di questa nuova legislazione dell’Unione Europea, è fondamentale che la vostra azienda sia pienamente preparata ai cambiamenti apportati dal GDPR. La protezione dei dati è una questione seria per tutti, e le nuove linee guida serviranno per creare maggiore fiducia rafforzando e unificando la protezione delle informazioni personali.