Ci sono sette aree chiave che le imprese dovrebbero esaminare per garantire la conformità con il Regolamento generale sulla protezione dei dati personali o GDPR, e anche se la scadenza è inferiore a quattro mesi, non è ancora troppo tardi per iniziare
Con meno di 100 giorni lavorativi rimanenti alla data di attuazione del Regolamento generale sulla protezione dei dati (GDPR) del 25 maggio 2018, i preparativi delle aziende sono in pieno svolgimento. Con sanzioni per non conformità che raggiungono potenzialmente milioni o addirittura miliardi di euro, non c’è da meravigliarsi se la nuova legge ha attirato l’attenzione di alti dirigenti e consigli di amministrazione, non solo in Europa, ma anche negli Stati Uniti e nel resto del mondo.
Si spera che la tua azienda abbia già pianificato, preventivato, progettato e implementato il suo programma di gestione della privacy. In tal caso, goditi la primavera! Ma se non hai ancora fatto nulla per metterti in regola con la nuova normativa, quali sono i passi assolutamente indispensabili da fare per evitare di passare alla storia come la prima azienda a provare le sanzioni del GDPR?
Cosa fare per essere in regola con il GDPR ed evitare sanzioni?
Innanzitutto, affidati a un consulente per la privacy o nomina un responsabile della protezione dei dati (RPD), meglio conosciuto come Data Protection Officer (DPO). Il requisito richiesto dal GDPR per la nomina di un DPO è abbastanza generico. Le situazioni variano, ma in genere la stima degli esperti mostra che decine di migliaia di imprese dovranno averne uno sul posto. Essere un DPO non è qualcosa che un normale impiegato può fare senza adeguate conoscenze. Il GDPR richiede alle DPO di avere “una conoscenza approfondita delle leggi e delle pratiche in materia di protezione dei dati” e la capacità di svolgere i relativi compiti nella pratica. Ciò richiede chiaramente una formazione professionale di tipo legale e, in modo ottimale, l’abilitazione all’esercizio della professione di avvocato. Inoltre, un responsabile della protezione dei dati deve “riferire al massimo livello di gestione” della società e tuttavia disporre di indipendenza sufficiente per difendere i diritti alla privacy dei consumatori. Le imprese che non hanno una struttura europea ma sono soggette alla nuova legge dovranno nominare un rappresentante locale che fungerà da collegamento con le autorità garanti della privacy. Un consulente per la protezione dei dati personali, anche se non nominato ufficialmente come DPO, può darti tutti i consigli e le direttive per essere conforme, e può metterti sulla giusta strada rispetto ai passi successivi.
In secondo luogo, esegui la mappatura dei dati. Sappiamo tutti che il primo passo verso il cambiamento è la consapevolezza. Senza sapere quali dati si hanno, dove sono archiviati e con chi sono condivisi, è impossibile rispettare le richieste di accesso dei consumatori o i limiti di conservazione legale. In effetti, un pilastro centrale del nuovo GDPR è il requisito della “responsabilità”, che inizia con l’identificazione, l’inventario, la documentazione e l’organizzazione dei flussi di dati personali nell’impresa. Anche in questo campo, potete affidarvi a un consulente, che può aiutare a prepararvi.
Per maggiori informazioni o per chiedere un preventivo clicca qui.
In terzo luogo, concepire e attuare un piano di conservazione dei dati. I professionisti della privacy dicono sempre che la minimizzazione dei dati è il principio organizzativo della protezione dei dati. Non raccogliere dati se non ne hai davvero bisogno. Non conservarli a meno che non sia assolutamente necessario per uno scopo commerciale legittimo. La conservazione indefinita o incontrollata di dati strutturati e non strutturati è una fonte comune di malintesi sulla privacy. La gestione dei dati raccolti potrebbe non essere interessante, ma è una funzione aziendale sempre più cruciale in un mondo di grandi quantità di dati e rischi per la privacy e la sicurezza. I programmi di conservazione dei dati sono noiosi e complessi, spesso integrando requisiti di dozzine di leggi e regolamenti. Sono anche strettamente legati alle pratiche di sicurezza. Ad esempio, anche se i registri delle transazioni passate devono essere conservati per molti anni per proteggersi da potenziali rivendicazioni legali o per facilitare i controlli fiscali, l’accesso dovrebbe essere limitato solo, ad esempio, al direttore generale e non a qualsiasi impiegato.
Quarto, impostare e aggiornare le dichiarazioni e le politiche sulla protezione dei dati. Ancor più delle precedenti leggi sulla privacy, il GDPR richiede una lunga lista di informazioni divulgative da fornire a consumatori e dipendenti. Assicurati che le informazioni siano complete per evitare di compromettere la validità del consenso dei consumatori. Inoltre, assicurati che gli obblighi di protezione dei dati siano presenti e propagati attraverso gli accordi con i fornitori per impedire che le politiche aziendali vengano indebolite da fornitori di servizi esterni o venditori esterni.
In quinto luogo, condurre valutazioni del rischio e, se del caso, valutazioni d’impatto sulla protezione dei dati (DPIA). Sebbene sia lungo e dettagliato, il GDPR è anche modulare, scalabile e basato sul rischio. Non tutti gli obblighi si applicano a tutte le società, e anche i requisiti generalmente applicabili non si applicano allo stesso modo su tutti i servizi. In quanto strumento normativo a livello di settore e intersettoriale, il GDPR riconosce la differenza tra una violazione dei dati che coinvolge solo nomi di persone o titoli di lavoro e quella riguardante i dati genetici di un paziente malato. Per le attività ad alto rischio, il GDPR richiede alle aziende di eseguire un DPIA. Ciò significa passare attraverso un processo strutturato di identificazione, documentazione e talvolta segnalazione della probabilità e gravità dei rischi per la privacy degli individui, nonché misure di sicurezza che la società intende adottare.
In sesto luogo, preparare tecnologie, sistemi e processi per il rispetto dei diritti di protezione dei dati personali. Una delle sfide principali e più costose dell’implementazione del GDPR riguarda l’adattamento dei sistemi esistenti per conformarsi a una lunga lista di diritti individuali esistenti e di nuova costituzione, tra cui l’ormai famoso diritto all’oblio nonché i diritti di accesso individuale, la rettifica, revoca del consenso, portabilità e altro. Una cosa è stabilire un team legale o di conformità per affrontare le sfide del GDPR; un’altra cosa è coinvolgere ingegneri di prodotto, team IT e altre funzioni aziendali per configurare i sistemi esistenti e creare nuovi processi per rispettare le singole richieste.
Infine, e soprattutto, riconoscere che la conformità a GDPR è sempre in corso d’opera. È praticamente impossibile essere pienamente conformi a una serie di obblighi ad ampio raggio che si applicano virtualmente a tutti i processi organizzativi tra reparti e località geografiche. In linea con l’approccio della responsabilità, le autorità di regolamentazione probabilmente permetteranno alle imprese un margine di manovra per adeguarsi al nuovo quadro e far emergere le migliori pratiche, purché le aziende possano dimostrare un approccio serio e metodico all’attuazione del GDPR. Non è troppo tardi per iniziare.
Elio Errichiello
