Manca davvero poco al 25 maggio 2018, data in cui sarà obbligatorio aver recepito il GDPR ovvero il General Data Protection Regulation (Regolamento UE 2016/679), traducibile come Regolamento generale sulla Protezione dei Dati.
La tua azienda è pronta per il GDPR?
Se la risposta è “NO” oppure “Non so cosa sia il GDPR” allora è meglio correre subito ai ripari, perché le multe per chi non dovesse mettersi in regola possono arrivare fino al 4% del fatturato annuo.
Cos’è il GDPR?
Il regolamento è stato promosso dalla Commissione Europea e toccherà tutte le aziende Europee ed anche extra Europee, che gestiscono dati personali di cittadini Europei.
Diversi sono i punti toccati nel GDPR, ma sinteticamente si può dire che si dovrà prestare attenzione a:
-
Consenso – la richiesta del consenso alla gestione dei dati dovrà essere chiara, comprensibile, dovrà evitare termini legalitesi poco comprensibili. In sostanza l’utente deve autorizzare con completa comprensione di ciò che sta consentendo di fare. Inoltre l’utente dovrà poter successivamente revocare o limitare tale consenso.
-
Sicurezza dei dati – il titolare del trattamento dei dati deve poter garantire un buon livello di sicurezza su tali dati. Ovvero se un’azienda detiene i dati personali di un individuo, lo deve fare con un elevato livello di sicurezza. Per soddisfare questo punto, è sicuramente ottima cosa rivolgersi a realtà in grado di supportarci in tal senso. Ad esempio, Google offre G Suite (ovvero la posta aziendale e gli archivi) e Google Cloud Platform (server che ospitano i software aziendali), garantendo la piena soddisfazione del GDPR. Vi invito a tal proposito a scaricare un white paper di Google Cloud sul GDPR.
-
Notifica violazione dei dati: nel caso si dovesse verificare un violazione dei dati, il titolare del consenso deve segnalarlo alle autorità entro 72 ore da quando scopre la violazione
-
Diritto alla cancellazione ovvero la versione più mitigata del già noto diritto all’oblio. In sostanza se un utente chiede di rimuovere i propri dati dai sistemi informativi di un’azienda, tale azienda deve essere attrezzata per farlo. Ovviamente ciò non si applica a documenti che devono, per legge, essere conservati (Es. Fatture).
-
Portabilità dei dati – se l’utente lo richiede, il titolare del trattamento dei dati deve poter esportare, in un formato di uso comune, tutte le informazioni personali di tale utente, cosicché egli possa trasferire i suoi dati da un sistema informatico ad un altro.
-
Pseudonimizzazione – termine complesso che significa in sostanza criptazione dell’identità dell’utente. In questo modo un’azienda potrà detenere informazioni su Tizio senza che gli utenti del sistema sappiano che quelle informazioni sono effettivamente legate a Tizio.
Alcuni dei punti sopra elencati possono essere attuati senza particolari accorgimenti tecnologici (Es. Notifica Violazione), ma altre necessitano di strumenti informatici a norma (Es. Google Cloud) e dell’intervento di consulenti informatici (Es. Portabilità e Pseudonimizzazione).
Noi di Open Gate siamo più che disponibili ad aiutare la tua azienda in tal senso.
Contattaci e pianificheremo insieme una strategia e una road map per arrivare preparati al traguardo del 25 maggio.