COMPLIANCE GDPR: Sei conforme al nuovo Regolamento sulla protezione dei dati?
Richiedi una consulenza per valutare la tua conformità al GDPR
Dal 25 maggio del 2018 tutte le aziende sono costrette ad uniformarsi al GDPR, il nuovo regolamento europeo sulla protezione dei dati personali. Un intervento obbligatorio che comporta una serie di stravolgimenti indispensabili al fine di garantire la massima sicurezza delle informazioni sensibili in proprio possesso.
Ma come si fa a stabilire la conformità di una azienda al Gdpr?
Innanzitutto va detto che in determinati casi è indispensabile nomimare un DPO (Data Protection Officer), responsabile della valutazione e dell’organizzazione della gestione del trattamento dei dati personali, per fare in modo che questi vengano trattati nel rispetto delle norme europee e nazionali sulla privacy.
Si tratta di una designazione obbligatoria, ai sensi dell’art. 37, primo paragrafo del Gdpr, in alcune situazioni specifiche, e cioè se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico, se le attività principali dell’organizzazione consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; se le attività principali dell’organizzazione consistono nel trattamento su larga scala di dati sensibili o giudiziari.
La designazione del Dpo non è obbligatoria per aziende individuali o familiari, per piccole e medie imprese con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti, per liberi professionisti operanti in forma individuale, per agenti, rappresentanti e mediatori operanti non su larga scala.
In secondo luogo bisogna attuare una valutazione della compliance al GDPR, effettuando una raccolta approfondita e mappata delle informazioni che riguardano l’organizzazione aziendale.
Successivamente sarà necessario creare un registro dei trattamenti, e cioè un documento che segni scrupolosamente tutti i trattamenti svolti dal titolare (o responsabili) con le finalità stesse del trattamento e tutto ciò che ne consegue.
A questo punto, dopo aver specificato le politiche di sicurezza, si dovranno individuare le responsabilità dei soggetti che effettuano il trattamento, valutando tutti i rischi. Una volta individuato un data breach (violazione dei dati personali), bisognerà indagare in modo adeguato e pronto per individuare le cause del danno subito.
Standard di sicurezza che se non rispettati, possono portare le aziende a ricevere pensanti sanzioni economiche (fino a 20 milioni di euro o pari al 4 per cento del fatturato annuo globale), che oltre a mettere in serio pericolo la stabilità delle aziende stesse, finiscono per macchiarne anche la reputazione.