SIETE PRONTI?

Tutte le aziende, di qualunque dimensione, dovranno uniformarsi al GDPR - la nuova normativa europea sulla privacy e sul controllo dei dati - entro il 25 maggio 2018.

Le aziende sono chiamate a svolgere alcune attività fondamentali per affrontare il cambiamento:

  • comprendere come i nuovi obblighi impattano sull’attività;
  • determinare quali sono i dati sensibili, dove si trovano e se sono al sicuro;
  • nominare un Data Protection Officer, se la situazione lo richiede;
  • rivedere le informative sulla privacy e i processi di accesso ai dati, insieme alle richieste di rettifica e cancellazione richieste dagli individui.

 

ViVieb consiglia 5 fondamenti per affrontare al meglio il GDPR e per evitare le sanzioni previste:

Consapevolezza

Eseguire un’analisi approfondita dell’azienda è indispensabile: in questo modo è possibile identificare possibili vulnerabilità e fragilità dei sistemi (sia interni che esterni). Ottenere piena consapevolezza dei rischi a cui l’impresa è esposta sarà lo scopo di questa indagine. In tal modo si agevolerà sia il processo di protezione dei dati che di adattamento alla nuova normativa.

Mappatura dei dati

Scopo principale del regolamento è la protezione dei dati personali, ma anche la conoscenza dei dati è alla base del GDPR. “You cannot protect what you don’t know about”. Bisogna identificare e classificare i dati sensibili per riuscire a creare una mappatura idonea. Dati sensibili sono tutte le informazioni che rendono una persona identificabile, a livello del singolo dato o di un insieme di informazioni.

Monitoraggio

Le imprese hanno bisogno di strumenti per dimostrare la rapidità con cui processano le richieste. Ogni individuo ha diritto di richiedere alle aziende di tracciare, modificare, cancellare o trasferire i propri dati personali. In questo caso, l’attività di monitoraggio è fondamentale, in quanto le sanzioni più severe sono relative proprio alla violazioni dei diritti delle persone, come la mancata risposta o un ritardo nel fornire le informazioni richieste dal cittadino, che può reclamare in questo caso anche un risarcimento in denaro

Sicurezza

Il livello di protezione richiesto dal GDPR è molto più alto rispetto a quello della normativa italiana corrente. Le aziende devono dotarsi di misure specifiche atte a garantire la sicurezza dei dati, facendo particolare attenzione ai rischi presentati dal trattamento dei dati riguardo a modifica, perdita, distruzione e divulgazione non autorizzata dei dati personali. Nello specifico, tra le misure di protezione vi sono:
  • pseudonimizzazione e cifratura dei dati sensibili
  • capacità di ripristinare rapidamente l’accesso ai dati in caso di incidenti
  • procedure per verificare l’efficacia delle misure tecniche di sicurezza adottate.
Viene inoltre introdotto il principio “Data Protection by Design” che obbliga a verificare da un lato, che gli strumenti informatici possano garantire il corretto livello di protezione, e dall’altro, la totale assenza di vulnerabilità di tali sistemi, già in fase di progettazione.

Notifica

Le violazioni dei dati personali devono essere segnalate in modo tempestivo all’autorità di vigilanza, entro e non oltre 72 ore dall’avvenimento, comunicando la descrizione della violazione, il tipo di dati interessati, le probabili conseguenze e le misure adottate per porre rimedio e attenuare gli effetti negativi.

Siete pronti al GDPR?

ViVieb Data Protection: find, understand, and trust your data.