Informazioni e tempi per il GDPR

Pochi argomenti IT di business dai tempi del Y2K hanno portato a preoccupazioni o confusione tanto quanto la GDPR. Il regolamento sulla privacy dei dati generali entra in vigore il 25 maggio 2018. Le imprese, i governi e le autorità di regolamentazione hanno avuto due anni per prepararsi a far diventare un regolamento esecutivo il GDPR, ma c’è ancora vera confusione sul fatto che le aziende siano effettivamente pronte.

Come fai a sapere se sei pronto? Come fai a sapere se devi essere pronto? Queste sono domande che potrebbero avere implicazioni finanziarie molto gravi per le aziende sia grandi che piccole, indipendentemente da dove si trovi l’azienda.

Se la tua azienda tratta dati personali da un cittadino dell’UE, la tua attività rientra nei requisiti descritti nel GDPR. Il regolamento fa alcune distinzioni in base al ruolo di un’azienda nella gestione dei dati e nella quantità di dati gestiti, ma è importante notare che non vi è alcuna esenzione per le organizzazioni di piccole dimensioni: se la propria azienda (o altra organizzazione) raccoglie o elabora i dati dai cittadini dell’UE situati nell’UE, il GDPR si applica anche a voi.

Il GDPR distingue tra coloro che raccolgono informazioni personali (“controllori” nel linguaggio del regolamento) e quelli che elaborano le informazioni (“processori” nel regolamento). Non è che ottengano o meno un pass gratuito dal regolamento, ma questioni come il permesso per raccogliere informazioni e portabilità dei dati vengono gestiti in modo diverso per i due tipi di organizzazioni.

Preparare il nuovo responsabile dei dati DPO

Uno dei punti in cui la dimensione fa la differenza è la nomina di un responsabile della protezione dei dati (DPO). Organizzazioni più grandi, o organizzazioni di qualsiasi dimensione che raccolgono o elaborano grandi quantità di dati personali, devono nominare un responsabile della protezione dei dati responsabile della conformità GDPR.

L’ufficio del responsabile della protezione dei dati costituirà un investimento significativo per le organizzazioni, in quanto l’individuo nell’ufficio deve essere competente a gestire i processi IT, la sicurezza dei dati (dalla prevenzione alla risposta e alla risoluzione) e le questioni critiche di continuità aziendale nella raccolta, archiviazione ed elaborazione dei dati personali sensibili . In quasi tutti i casi, ciò significherà improntare un ufficio e una squadra di supporto, piuttosto che nominare semplicemente una persona ai fini della compilazione di un modulo.

Prontezza politica

Il fondamento di GDPR è l’idea che le persone possiedono i loro dati. Ciò significa che devono essere stabilite politiche e processi per garantire che coloro che utilizzano i siti, i prodotti e i servizi di un’azienda danno il permesso positivo (e non semplicemente la possibilità di rinunciare) affinché i loro dati siano raccolti ed elaborati. Significa anche che hanno il “diritto all’oblio” – se la tua azienda è in possesso di dati su un individuo, ci deve essere attivato un meccanismo affinché quella persona ti contatti nel caso in cui desideri che i dati vengano cancellati – e che tale richiesta deve essere onorata

Uno degli effetti collaterali interessanti dei dati appartenenti all’individuo è che, nella maggior parte dei casi, deve essere portatile. Ciò sarà particolarmente importante in applicazioni come posta, messaggistica, elenchi di attività e calendari. Se l’individuo chiede che gli siano forniti i dati personali o poterli portare su un altro servizio o fornitore, deve essere previsto un meccanismo in grado di fare proprio questo.

Prontezza del processo

È ovvio che, al fine di rispettare il GDPR, i dati devono essere protetti. Un meccanismo che il regolamento accetta per la protezione è “pseudonimizzazione” (cioè, alterando i dati in modo che, senza informazioni aggiuntive, non possa essere associato a un particolare individuo). Sia la crittografia che la tokenizzazione sono metodi accettabili per proteggere i dati all’interno del GDPR.

La pseudonimizzazione non rimuove i dati dalla protezione di GDPR. È ancora considerato un dato personale e rientra ancora nel regolamento. La crittografia e la tokenizzazione possono tuttavia essere utilizzate per dimostrare la conformità con le disposizioni del GDPR e vengono adottate da molte aziende.

Prontezza della risposta

La mancata divulgazione delle violazioni dei dati in modo tempestivo, come l’incidente di Equifax, non è rara. Secondo il GDPR, le aziende devono notificare all’autorità di vigilanza (l’ente governativo responsabile della conformità al GDPR) entro 72 ore dalla presa di coscienza di una violazione. Se una violazione può comportare conseguenze negative per le persone coinvolte, deve essere avvertita immediatamente.

La notifica non è richiesta se i dati sono stati crittografati, tokenizzati o altrimenti offuscati in modo che non siano comprensibili per l’autore dell’attacco. Questo può essere un altro argomento significativo a favore dell’utilizzo di queste tecnologie per adeguarsi al GDPR.

Benefici dell’essere pronti, in regola con il GDPR

La maggior parte delle affermazioni che esaminano i vantaggi del rispettare il GDPR si concentrano sull’evitare le multe significative che possono derivare da un fallimento del GDPR – multe che possono raggiungere 20 milioni di euro o fino al 4% dei ricavi globali annuali di un’azienda. Un beneficio più importante, tuttavia, può derivare dalla fiducia del cliente o del cliente nell’organizzazione che raccoglie i propri dati.

Un numero crescente di sondaggi indica che i consumatori si preoccupano del modo in cui i loro dati vengono trattati dalle aziende. Essere in grado di dimostrare, attraverso la conformità al GDPR, di essere un custode responsabile dei dati personali può essere un vantaggio competitivo per le aziende nell’UE e in tutto il mondo.

Liberamente tradotto da un articolo tratto da https://www.forbes.com

Scopri come possiamo metterti a norma per il GDPR