Adeguamento al GDPR, il nuovo regolamento Europeo sulla protezione dei dati

MAGGIORI INFORMAZIONI?

Luca Bencini
Head of Project and Innovation
CONTATTA ORA

SICUREZZA

ADEGUAMENTO AL GDPR, IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

Il 24 Maggio 2016 è entrato in vigore il nuovo Regolamento UE, in materia di protezione dei dati, il quale è stato recepito obbligatoriamente entro maggio 2018: regolamento EU 2016/679 GDPR (General Data Protection Regulation).

La Riforma GDPR è uno step fondamentale per il diritto nell'era del digitale e per una legislazione unificata, valida in tutti i paesi UE.
La sua attuazione evita la frammentazione delle spese e dei costi amministrativi (si stima un risparmio di 2,3 miliardi di euro all'anno) e facilita l'attività della polizia, della giustizia e delle autorità nel proteggere i cittadini in caso di violazioni criminali. Costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.

GDPR AUTO ASSESSMENT

Il nuovo regolamento Europeo sulla Privacy ha impatti sui sistemi e procedure aziendali ad oggi in uso presso le aziende. Il suggerimento è quindi quello di iniziare ad effettuare le Gap Analysis rispetto ai nuovi requisiti sui sistemi informativi aziendali e sulle procedure privacy fin da subito.

 

La GAP Analysis

GDPR gap analysis
Il primo passo, nonché quello di maggiore rilevanza, è definire il registro dei trattamenti e il piano di adeguamento alla privacy Europea GDPR. Questa fase prevede l’assessment del modello attuale dell’organizzazione, al fine di definire un piano di azioni opportunamente dettagliate e calate sulla realtà aziendale.

Data l’ampiezza del perimetro di impatto del GDPR a livello aziendale, mappare il modello attuale e identificarne in modo esaustivo i gap, in relazione a quanto richiesto dal Regolamento, richiede un approccio strutturato e comprensivo di tutte le leve su cui è possibile agire in relazione all’obiettivo di adeguamento, come:

  • Organizzazione e ruoli
  • Persone, cultura e competenze
  • Processi e regole
  • Documentazione
  • Tecnologia e strumenti
  • Sistema di controllo

 

Nasce una nuova figura: il DPO, Data Protection Officer

DPO GDPR

Il Data Protection Officer (DPO) è la figura di riferimento introdotta dal GDPR.
Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

È chiaro come l'introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato.

 

GDPR: Le sanzioni

GDPR sanzioni
La violazione delle disposizioni contenute nel regolamento GDPR è soggetta a sanzioni amministrative pecuniarie fino a:

20.000.000€, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente

 

GDPR: preoccupazioni e benefici

Il GDPR porta con sé alcune preoccupazioni legittime, legate alle sanzioni previste dal regolamento, agli impatti negativi sull'immagine della società in caso di compromissione, ed ai costi per la compliance con la normativa.

Allo stesso tempo però apporta una lunga lista di benefici concreti, a partire dalla maggiore sicurezza dei dati gestiti dall'azienda, contrastando il traffico illegale delle informazioni, snellisce i processi aziendali, stimola investitori e partner, migliorando l'immagine aziendale ed apporta benefici alla protezione delle altre informazioni aziendali come la proprietà intellettuale.
GDPR benefici

I servizi di TT Tecnosistemi

I servizi offerti da TT Tecnosistemi nell'ambito del GDPR consistono nell'accompagnamento delle aziende nel percorso di adeguamento alla normativa GDPR.

Di seguito è proposto un modello metodologico definito per un intervento di assessment e di successivo adeguamento al GDPR.
I concetti sono applicabili a qualsiasi tipo di azienda semplicemente dimensionando adeguatamente le attività ed il relativo livello di approfondimento. Il modello prevede 10 fasi:

  • Un pre-assessment documentale sulla documentazione disponibile in ambito privacy fornita dal cliente
  • Selezione dei processi in scope e definizione del perimetro di intervento
  • Un assessment di dettaglio basato su interviste ed analisi in loco a completamento e integrazione del preassessment
  • Definizione di As-Is e To-Be (in ottica DLgs 196/03 e GDPR ed in sintonia con le reali esigenze riscontrate)
  • Sviluppo di una Gap Analysis e di una eventuale DPIA
  • Definizione delle azioni necessarie e possibili e sviluppo di un Piano di intervento
  • Selezione di eventuali SW di supporto
  • Implementazione della soluzione decisa (documentazione, procedure, misure di protezione ed eventuali SW)
  • Change Management & Training
  • Supporto e aggiornamento della soluzione e del personale

GDPR AUTO ASSESSMENT

I nostri Brands