AMBICO INFORMA_marzo 2018

28 March 2018
Security concept: Lock on digital screen

GDPR-cld-data-protect_euPRIVACY: DAL 25 MAGGIO RISCHIO SANZIONI PARI AL 4% DEL FATTURATO PER IL NUOVO ADEMPIMENTO.

Nuovi oneri a carico delle imprese. Stavolta è la privacy oggetto dei grattacapi delle aziende.

Anche a causa dei recenti attacchi informatici l’Europa ha stretto le misure di sicurezza in merito alla tutela dei dati personali.

Nel 2016 è stata emanata dall’Unione Europea una normativa che regolava le modalità di trattamento dei dati della privacy. Lo Stato italiano però ne ha recepito il regolamento solo nel Novembre 2017 nonostante gli obblighi di adempimento fossero già attivi.

L’adempimento è anche chiamato GDPR, acronimo che significa “General Data Protection Regulation” e che negli ultimi mesi abbiamo sentito spesso nominare.

Concretamente si tratta di una evoluzione della vecchia Privacy del 1995.  Con il Regolamento (UE) 2016/679 vengono esplicitate le sanzioni pecuniarie date dalla mancata applicazione dello stesso; queste possono arrivare fino a 20 milioni di euro o al 4% del fatturato. Tale regolamento richiede che all’interno dei moduli della privacy venga esplicitato il tempo di trattamento, il diritto all’oblio e richiesta una Compliance da parte del titolare dei dati.

Con questo adeguamento la privacy deve essere “by design”, ovvero deve essere mantenuta durante tutti passaggi che il dato compie all’interno dell’azienda.

Le implicazioni per le aziende dovute a questo regolamento non sono indifferenti ed andranno a toccare tutte le fasi della vita del dato all’interno dell’impresa; sarà infatti necessario cambiare e rivalutare quelli che sono i flussi di elaborazione dei dati, i processi aziendali fino ad arrivare alle tecnologie che mantengono la sicurezza.

Dovranno essere adottati sistemi di crittografia in modo da rendere il dato accessibile esclusivamente a chi ne ha competenza; è obbligo applicare delle misure di “disaster recovery” in modo da essere pronti in caso di perdita o furto di dati e poterli recuperare.

L’impresa si troverà a dover verificare i requisiti normativi identificati nel regolamento, rivedere la propria documentazione (consensi, informative, procedure…) che risultasse, con questo adeguamento, obsoleta. Sarà inoltre necessario creare una mappatura del dato all’interno delle applicazioni dell’azienda. Le infrastrutture tecnologiche per lo stoccaggio dei dati dovranno essere riadeguate e dovrà essere formato adeguatamene anche il personale deputato alla gestione dei dati.

Buona prassi è avere anche una polizza assicurativa che vada a coprire responsabilità civile ed eventuali danni aziendali dovuti a “data breach” ovvero la violazione dei dati personali e la fuoriuscita degli stessi dall’azienda in caso di hackeraggio.

Veniamo al “quando”… la scadenza data dall’unione Europea è ufficialmente il 25 Maggio 2018, senza possibilità di deroga.

Ma nel concreto cosa bisogna fare entro questa data?

E’ necessario rivolgersi a una struttura di competenza che andrà a verificare i processi aziendali di gestione del dato. Eventualmente questi verranno modificati e riorganizzati al fine di rispettare le misure minime di sicurezza per la tutela dei dati e per ridurre i rischi.

Share Button