GDPR: paura di comunicare?

GDPR-
Vediamo come essere in regola, chi è il DPO, cos'è e quando va fatta la Valutazione di Impatto sulla Protezione dei Dati

Il nuovo PetrolioGDPR

I dati, definiti ormai il “nuovo petrolio”, rappresentano il vero business per un mercato che offre opportunità non solo ai soliti grandi nomi ma anche a piccole e medie organizzazioni che si concentrano su un marketing basato su una profilazione sempre più accurata.

Ogni nostra attività digitale lascia delle tracce per cui determinare il comportamento degli utenti, gli interessi, il comportamento e la propensione agli acquisti, rappresenta un enorme patrimonio in cui la materia prima è proprio il “dato”.

In questo nuovo scenario, però, è importante non perdere di vista i diritti dei proprietari di questi dati. Il diritto alla protezione dei dati personali è un diritto fondamentale delle persone e direttamente collegato alla tutela della dignità umana, così come sancito dalla carta dei diritti fondamentali dell’Unione Europea.

Con l’avvento del Regolamento GDPR 2016/679, le aziende sono chiamate a gestire questo “patrimonio” e a rivedere i propri sistemi di gestione dei dati all’interno dell’organizzazione al fine di prevenirne la perdita o comunque la divulgazione non autorizzata.

 

In questo contesto, cosa bisogna fare per essere conformi al GDPR?

Occorre valutare, innanzitutto, lo stato attuale di un’organizzazione al fine di pianificare le attività da eseguire per essere conformi.

Un’attenta autovalutazione, magari mediante l’ausilio di una check list di riferimento, può evidenziare le attività di adeguamento prendendo in considerazione i molteplici requisiti del GDPR tra cui l’eventuale obbligo di nomina del DPO (Data Protection Officer) o ancora la presenza di informazioni documentate quali le lettere di nomina, i registri delle attività di trattamento, la DPIA – valutazione di impatto sulla protezione dati e misure di sicurezza da intraprendere.

Il DPO è l’unico vero attore di questo cambiamento?DPO

Assolutamente NO! Che sia una risorsa interna o esterna, per svolgere efficacemente i propri compiti il DPO devi affidarsi alle funzioni chiave di un’organizzazione: i responsabili dei trattamenti, magari nominati ad hoc in base ai settori di competenza, gli addetti ai servizi IT o ancora gli amministrativi sono “attori” indispensabili per la Data Protection.

In quest’ultimo periodo, in cui la data del 25 maggio incombe e la maggior parte delle aziende ancora deve adeguarsi, si registrano tanti interrogativi su attività svolte di routine o considerazioni che generano caos e diffusione di informazioni sbagliate.

 

Ecco alcuni esempi!

Come gestisco le comunicazioni mediante email?

La soluzione NON è EVITARE DI COMUNICARE!

Qualunque azienda che dispone di un settore commerciale avrà dei dipendenti dotati di un account di posta elettronica (Outlook, Gmail) dove confluiscono le email di potenziali clienti e, di conseguenza, i dati di contatto che saranno memorizzati dal gestore di posta elettronica.

Come gestisco in questo caso la questione trattamento dati?cancellazione dati

Sicuramente i dati non più utilizzati devono essere cancellati periodicamente sfruttando le proprietà dei gestori di posta elettronica che prevedono questa funzionalità.

Potrebbe esserci, poi, un’esplicita richiesta di eliminazione dei propri dati da parte dell’interessato e, quindi, procedere alla repentina cancellazione.

Resta da chiedersi: chi lo farà?

 

Un altro aspetto poco chiaro riguarda la documentazione da elaborare rispetto al vecchio Codice Privacy.

Davvero basta elaborare il registro dei trattamenti per mettersi in regola?

La risposta, purtroppo, è NO! Innanzitutto è importante chiarire che il registro dei trattamenti non sostituisce il vecchio DPS (documento programmatico per la sicurezza) e soprattutto NON è UN UNICO DOCUMENTO che ci mette in regola ma un insieme di informazioni documentate che sono funzione della tipologia di organizzazione e del proprio grado di complessità.

 Blumatica GDPR

L’esperienza Blumatica al servizio del trattamento dei dati personali!

Il software Blumatica GDPR si distingue proprio in questo, ossia nell’adattarsi alla gestione sia delle piccole attività, sia di organizzazioni grandi e complesse.

 

A chi si rivolge Blumatica GDPR?

La soluzione si rivolge sia ai professionisti che operano in qualità di Advisor per conto dei propri clienti, sia alle medie e grandi aziende che decidono di dotarsi di un sistema di gestione in house.

 

DPIA – Valutazione di Impatto sulla Protezione dei Dati

Tutti pensano che la DPIA si risolva con la valutazione dei rischi dell’attività.

Così non è! Basta analizzare il flow chart della DPIA presente nelle linee guida del Gruppo di lavoro Articolo 29.

La DPIA è un processo che segue un iter ben preciso di cui, però, non è stata definita una metodologia da applicare. Blumatica, tuttavia, è riuscita in questo intento ed ha sviluppato un metodo in fase di brevetto che porta all’analisi dettagliata di tutte le attività a rischio ALTO.

 

Quando un’attività è a rischio ALTO e, quindi, soggetta a DPIA?

Quando la valutazione di rischi rileva un livello Alto e/o quando sono soddisfatti due o più criteri definiti dalle linee guida.

 

Scopri di più qui

 

Francesca De Santis

Responsabile Ricerca e Sviluppo Area Sicurezza


Un commento

  • Marco Sellitti

    16 Maggio 2018 at 14:59

    Salve,
    Il vostro software gestionale GDPR, prevede un registro di Data Breach e di contratti per il responsabile del trattamento ? Prevede un protocollo per la protezione dei dati personali e particolari (ex sensibili) con i fornitori di servizi ( commercialista,fornitori, ecc…) ?

    Cordialita’

    Commenta

Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *