Adeguarsi al Gdpr in Italia

perché acquistare un software GDPR non è la sola cosa da fare e potrebbe rivelarsi una scelta del tutto errata

I software per il GDPR sono tutti più o meno utili e validi. La funzione di un software GDPR è essenzialmente la redazione dei documenti più o meno dinamici ma la condizione per poterlo utilizzare è quella di essere utenti qualificati con competenze specifiche rispetto il GDPR.

Se acquistati pensando che da soli risolvano il problema degli adeguamenti rispetto i precetti del GDPR, non faranno altro produrre documenti errati e addirittura controproducenti!

Gli adempimenti sono molteplici e per poterli quantomeno valutare, è buona norma effettuare una prima “fotografia” della propria realtà aziendale.

A tal fine, mettiamo a disposizione in maniera del tutto gratuita un questionario di poche ma significative domande, che vi permetterà di compiere una prima autovalutazione. 

VAI AL QUESTIONARIO

Bisogna infatti comprendere l’importanza e il valore dei dati trattati, nonché quantificare i danni economici legati alla perdita di informazioni e molti altri fattori. In questo periodo infatti c’è fibrillazione nelle imprese italiane per avviare o gestire un progetto di adeguamento al nuovo Regolamento Europeo sulla Privacy (Regolamento Generale sulla Protezione dei Dati – RGPD). La vera domanda è però relativa a quante di queste lo stanno facendo in modo corretto, evitando di sprecare tempo, energia e danaro in azioni errate.

Quante aziende hanno pianificato o avviato un progetto strutturato che consentirà entro il termine del 25 maggio 2018, di avere compiuto le azioni corrette?

Quante invece hanno acquistato un software GDPR per accorgersi poi di non essere in grado di utilizzarlo?

Adeguamento al GDRP: cosa fare prima di tutto

Un test di valutazione delle “Stato di fatto” rappresenta sicuramente un buon punto di partenza.

Occorre riflettere su alcuni aspetti fondamentali, effettuare delle analisi preliminari sul contesto aziendale raccogliendo tutte le informazioni riguardanti non solo il titolare di un trattamento principale ma anche rispetto eventuali società controllate/controllanti o collegate, partner ecc. Ogni azienda dovrà raccogliere le informazioni che la riguardano, partendo da quelle relative alla legislazione attuale principalmente:

  • Codice Privacy ed i provvedimenti del Garante Privacy
  • raccogliere le informazioni relative a tutte le attività svolte magari basandosi su modelli 231
  • certificazioni di qualità (ISO 9001, 27001, ecc.)

L’azienda o il professionista dovrà analizzare:

  • i Paesi operano i vari titolari e responsabili del trattamento
  • i servizi di stoccaggio dei dati come Drop Box, Google Drive, One Drive, ecc
  • le certificazioni ottenute
  • le principali categorie di dati ed il loro volume
  • gli eventuali trattamenti in outsourcing e le conseguenti nomine

Fatto ciò si sarà in grado di mappare e schematizzare i seguenti punti:

  1. organizzazione e ruoli,
  2. risorse umane,
  3. divulgazione e competenze,
  4. processi strutturati e documentati sul trattamento dei dati
  5. contratti con i fornitori che trattano dati
  6. nomine a responsabili e incaricati del trattamento
  7. procedure di gestione dei processi informativi
  8. procedure e processi di gestione della sicurezza informatica
  9. sistemi di controllo remoto
  10. sistemi di audit interni/esterni.

Solo a questo punto l’azienda o il professionista si potrà interrogare su come organizzare il progetto di adeguamento seguendo principalmente due strade:

  1. Acquisto di un software GDPR e messa a disposizione di risorse interne debitamente formate in materia Privacy. IT, Legale, ecc.
  2. Avvalersi di consulenza esterna specializzata

In questa fase è fondamentale che l’azienda comprenda valore ed importanza che hanno le informazioni in suo possesso (i cosiddetti dati personali), relativi ai propri clienti, dipendenti, ecc.

Banalmente, le domande che ci si dovrebbe porre sono:

Quanto costa in termini di risorse economiche perdere dei dati?

A quante implicazioni legali vado incontro se vengono divulgati dati personali di terze parti in mio possesso?

Sono in grado di ripristinare in un tempo breve l’operatività della mia attività a seguito di una perdita/violazione dei dati?

Prima di chiedersi quindi “quanto costa adeguarsi?”, bisogna quantificare quanto costa non fare nulla o produrre unicamente della documentazione tramite un software perché è chiaro che le sanzioni ed i problemi a cui si va incontro così facendo hanno ripercussioni economico legali molto maggiori.

Un progetto corretto e qualificato di adeguamento al GDPR dovrà prima di tutto essere valutato da personale qualificato e, in caso si evidenzino azioni da compiere, coinvolgere sia la dirigenza che la proprietà dell’azienda per assicurare le necessarie coperture economiche per far fronte all’adeguamento.

In linea generale, ogni azienda dovrà attuare un progetto di adeguamento al GDPR che permetta di:

  • assicurare un’applicazione coerente e omogenea delle norme a protezione del trattamento dei dati personali. In questo senso è di fondamentale importanza è necessario svolgere una identificazione, comprensione e classificazione dei requisiti normativi indicati non solo dal GDPR, ma monitorando costantemente l’uscita di disposizioni e linee guida emanate dalle Autorità preposte (es. Linee guida del Gruppo ex art. 29);
  • valutare le implicazioni che le nuove disposizioni determinano sui processi/sistemi già esistenti;
  • stabilire quali sono le nuove disposizioni che presentano un maggiore impatto dal punto di vista delle azioni che le stesse devono intraprendere per adeguarsi al RGPD.

Effettuate tutte le valutazioni illustrate, si potrà iniziare un percorso concreto che modifichi i processi e le attività dell’azienda per portarli ad essere conformi rispetto al GDPR, non dimenticandosi di adempiere comunque ai provvedimenti del Garante Privacy che resteranno in vigore anche dopo il 25 maggio 2018.