Tanto è stato detto e scritto sull’argomento GDPR: sta per concludersi un percorso iniziato nel 2012, quando la Commissione Europea ha proposto una riforma sostanziale delle normative esistenti dal 1995 sulla protezione dei dati.
Il 25 maggio 2018 è alle porte e sappiamo che il nuovo GDPR avrà un impatto significativo su tutte le aziende, che sono responsabili dell’elaborazione e della conservazione dei dati personali dei cittadini UE. Sappiamo anche che le multe saranno colossali, dal 4% del fatturato annuo fino ad un massimo di 20 milioni di euro. Per questo motivo, a pochi giorni dall’entrata in vigore del nuovo regolamento, vale la pena effettuare gli ultimi controlli, con l’obiettivo di rispondere affermativamente alle seguenti domande:
Tutte le persone in azienda sono informate?
Alcune aziende hanno creato la figura del DPO (Data Protection Officer), a cui è affidata la responsabilità della gestione di tutte le attività, inclusa quella di informare e coinvolgere tutti i dipendenti, perché la conformità alle norme GDPR è una delle problematiche che coinvolge tutta l’azienda. E’ essenziale, infatti, che tutte le persone chiave all’interno dell’organizzazione sia consapevoli delle implicazioni e dei requisiti della nuova normativa, oltre che dell’impatto che questa produce sulle attività di cui sono responsabili.
Abbiamo controllato attentamente tutti i dati?
E’ evidente che, alla data attuale, tutte le aziende dovrebbero sapere tutto dei dati in loro possesso: dove sono conservati e in che modo, e da dove provengono. E’ inoltre necessario sapere il motivo per cui abbiamo quei dati e la modalità con cui ne siamo venuti in possesso. A tutte queste domande, infatti, dovremo dare una risposta puntuale in caso di controlli.
Conosciamo a fondo i diritti relativi alla privacy delle persone?
Le nuove normative introducono maggiori diritti per i cittadini europei. Per contestualizzare questa affermazione, basti sapere che, nel corso degli ultimi tre anni, Google ha ricevuto quasi due milioni e mezzo di richieste di cancellazioni dal motore di ricerca e questo numero può aumentare in modo vertiginoso a mano a mano che le persone comprenderanno meglio il nuovo diritto comunitario all’oblio.
Le persone avranno inoltre la facoltà di richiedere accesso ai dati personali in un formato a loro comprensibile. Per evitare che questo diritto di tutti i cittadini diventi una fonte inesauribile di perdite di tempo per l’azienda, è importantissimo individuare un modo per “taggare” ciascuna fonte di dati, in modo che sia rapidamente accessibile se necessario. Si tratta di un piccolo cambiamento, ma vi consentirà di risparmiare moltissimo tempo.
Abbiamo un piano d’azione nel caso di violazione dei dati?
Secondo le nuove norme GDPR, le aziende devono denunciare eventuali violazioni entro 72 ore dalla loro individuazione. Si tratta di una finestra temporale brevissima, dal momento che le prime ore successive alla violazione sono solitamente quelle piene di pressioni e tensione, dato l’alto numero di attività da intraprendere.
E’ quindi essenziale avere un piano, che preveda l’individuazione, la denuncia e la rapida gestione di una violazione, nel caso dovesse verificarsi.
In questo caso potrebbe essere utile avere a disposizione software di reporting aggiuntivi, che daranno modo di individuare velocemente dove si trovano i backup e facciano risparmiare tempo nelle attività di reporting sulla compliance. Inoltre, se i dati dovessero diventare indisponibili a causa di un malware, un software per il ripristino li renderà nuovamente disponibili in modo semplice.
Siamo disposti a migliorare?
Migliorare continuamente è importante quasi come avere un piano GDPR chiaro e perseguibile, soprattutto se si tratta di availability, qualità e sicurezza dei dati.
Viviamo in un’epoca in cui i dati sono l’asset di maggior valore di un’azienda e il mondo digitare è in continua e rapida trasformazione. Restare al passo con i cambiamenti sarà vitale: il 25 maggio non è la fine del percorso verso il GDPR, ma solo l’inizio.
