General Data Protection Regulation

General Data Protection Regulation

La normativa Europea per la protezione dei dati personali, General Data Protection Regulation (GDPR) EU 2016/679, pone con forza all’attenzione delle imprese e della società il tema della protezione dei dati personali e della sicurezza delle informazioni, imponendo alle organizzazioni pubbliche e private l’adozione di sistemi per la protezione dei dati personali trattati che siano efficaci nel garantire ai titolari di tali dati un livello di protezione adeguato alle diverse categorie di dati trattati, a seconda che siano o no classificati come dati sensibili.

E’ un dato di fatto che oltre il 90% delle organizzazioni pubbliche e private raccolgano e gestiscano i dati personali attraverso sistemi digitali, come avviene ad esempio nella raccolta dei dati effettuata attraverso i comuni form di contatto presenti nella maggioranza dei siti web aziendali, o attraverso la compilazione di anagrafiche che confluiscono all’interno di software gestionali nell’ambito dei processi di vendita, fatturazione o di fornitura di servizi.

In alcuni casi i dati personali sono immagazzinati in archivi che sono nella titolarità esclusiva dell’impresa, ma molto spesso capita che l’archiviazione avvenga in spazi forniti e gestiti da provider terzi rispetto all’impresa, come nei casi sempre più diffusi di cloud storage e servizi SaaS.

Le molteplici modalità di raccolta, gestione e trattamento dei dati personali offerte dalle tecnologie moderne moltiplicano i livelli di rischio e i piani di responsabilità che si possono concretamente configurare rispetto ai processi connessi al trattamento e richiedono la predisposizione di un piano di trattamento basato su livelli di sicurezza differenziati e calibrati sull’entità di rischio effettivamente presente per ciascuna categoria di dati.

Non è più sufficiente prevedere la corretta archiviazione dei dati in luoghi accessibili esclusivamente al personale autorizzato, come era richiesto dalla precedente normativa sulla privacy, quando la conservazione sotto chiave per gli archivi cartacei e l’implementazione di sistemi di autenticazione e autorizzazione evoluti per gli archivi elettronici erano misure idonee ad escludere la responsabilità dell’organizzazione in materia di protezione dei dati personali.

Il nuovo regolamento europeo impone livelli di protezione più elevati e più confacenti alle correnti prassi di trattamento, in cui entrano in gioco sistemi di archiviazione in cloud, smartphone con app dedicate all’accesso ai dati da remoto, portali per lo scambio dei dati tramite la rete internet e numerose altre modalità offerte dagli strumenti e dai servizi digitali più recenti.

Per assicurarsi la conformità al GDPR ed evitare le sanzioni previste in caso di inadempimento degli obblighi prescritti, ma anche per acquisire piena consapevolezza del proprio ruolo e cogliere le opportunità presentate dall’adeguamento, prima tra tutte quella di assicurare all’impresa livelli più alti di protezione dai rischi informatici, le aziende sono chiamate a riscrivere le regole di gestione e controllo dei processi che includono il trattamento dei dati personali, stabilendo nuovi piani e protocolli di trattamento.

Il punto di partenza del percorso di adeguamento non può non essere una corretta analisi dei rischi, che permette di avere sotto controllo le criticità aziendali, adottando, dove opportuno, le contromisure adeguata ai livelli di rischio individuati.

Il percorso di adeguamento, che è un processo continuo e non un’attività di mero adeguamento iniziale alla normativa, implica una continua analisi multidimensionale che coinvolge certamente il piano normativo, ma anche quello informatico, quello organizzativo, l’analisi dei processi aziendali e dei protocolli di sicurezza informatica adottati in azienda, in modo da minimizzare l’impatto del cambiamento nell’organizzazione ed il livello di rischio residuo nel trattamento.

Netlux è un’agenzia specializzata nella consulenza GDPR a Roma, dotata di competenze professionali certificate sia con riferimento alla consulenza GDPR che riguardo alla consulenza IT di livello avanzato; offre una gamma flessibile di formule garantite di consulenza per l’impresa che assicurano la totale compliance normativa ed i più alti livelli di protezione effettiva dei dati trattati.

Netlux è in grado di indicare le metodologie più efficaci partendo dalla specifica tipologia di impresa, guidando ogni struttura, per quanto particolare o complessa, nel proprio percorso di adeguamento individuale.