Percorso di conformità alla privacy europea e sicurezza IT a misura di PMI

gen

9

Percorso di conformità alla privacy europea e sicurezza IT a misura di PMI

Per essere conformi alla nuova legge privacy le aziende devono definire un percorso di adeguamento ed essere in grado di dimostrare le azioni implementate e le eventuali ancora da implementare, opportunamente inserite in un piano d’azione. Si trovano online già tante, troppe, opinioni e tanti percorsi teorici di adeguamento pensati per grandi aziende, ma tutto ciò vale anche per le PMI? Se si, in che modo sarà davvero sostenibile?

Privacy-and-Security-Training-Requirements-01

Il Regolamento Generale sulla Protezione dei Dati personali europeo (direttiva UE 2016/679, nota come GDPR), è già in vigore per tutti i dati personali, ma, diventando di piena applicazione dal 25 maggio 2018, viene spesso ancora ignorato, soprattutto dalle PMI. In Clickode abbiamo avuto la fortuna di incontrare alcuni imprenditori lungimiranti che, chiedendoci in anticipo sui tempi pareri e consulenza, ci hanno permesso di mettere a punto un percorso a misura di PMI per l’ottemperanza sostenibile alle disposizioni del GDPR, percorso che eviterà l’applicazione delle pesanti sanzioni previste dalla legge.

Infatti il GDPR ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio prescrittivo basato su regole con adempimenti predefiniti e sulla definizione del governo dei dati personali. Il nuovo sistema si basa sulla responsabilizzazione sostanziale (accountability) del Titolare del Trattamento dati personali, che deve garantire ed essere in grado di dimostrare la conformità al GDPR dei trattamenti di dati personali effettuati, con la definizione di un vero e proprio modello di protezione dati aziendale.

Per mettere a punto il nostro percorso di conformità al GDPR siamo partiti dal testo integrale della direttiva e delle linee guide all’applicazione del garante privacy, incrociandole con l’esperienza sia di avvocati specialisti in Diritto Digitale e Diritto del Lavoro che di consulenti esperti in gestione dati e sicurezza informatica. Questo percorso, applicabile a tutti i settori verticali in cui operano le PMI e gli operatori di filiera produttiva italiani, si articola in 3 fasi: identificazione, classificazione e pianificazione.

  1. IDENTIFICAZIONE: dai dati sensibili in azienda alle modalità di gestione e protezione in relazione ai requisiti del GDPR e alle eventuali normative settoriali; identificazione delle implementazioni attuali della normativa privacy (informative, consensi, tecnologie e strumenti IT);
  2. CLASSIFICAZIONE: creazione del Registro dei Trattamenti; identificazione del livello di rischio associato al singolo trattamento, e identificazione e classificazione degli eventuali gap da colmare per essere confomi al GDPR;
  3. PIANIFICAZIONE: definizione del Piano di Adeguamento complessivo, comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati organizzate in step riconducibili ai requisiti del regolamento, a cui attribuire un’accountability condivisa tra i vari attori coinvolti nel percorso;

A seguire potrà partire l’implementazione del piano di adeguamento al GDPR che, a titolo esemplificativo, potrebbe includere: introduzione della figura del Responsabile della Protezione Dati; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure; sensibilizzazione e formazione di dipendenti e collaboratori; revisione delle misure di sicurezza e delle tecnologie di protezione dei dati personali; redazione di una Valutazione di Impatto su un trattamento dati; valutazioni tecniche sull’adeguatezza delle misure di sicurezza adottate.

E’ importante sottolineare che il percorso di adeguamento al GDPR costituisce per se elemento importante per raggiungere la conformità in quanto tutte le decisioni rilevanti risulteranno opportunamente documentate e motivate, come, ad esempio, le scelte di governo e le tecnologie di sicurezza dei dati. E la conformità al GDPR ne evita le pesantissime sanzioni previste: fino a 20 milioni di € o il 4% del fatturato.

Add Comment

Your email address will not be published. Required fields are marked *

Solve : *
5 + 25 =