Il GDPR richiede un processo di adeguamento

Il GDPR è un regolamento di grande impatto per i business di tutte le dimensioni. E’ opportuno essere in regola per coglierne i benefici e non incorrere in problemi relativi a sanzioni o anche in termini di relazioni con i dipendenti, i clienti, i fornitori e il pubblico.

Da cosa iniziare?

La protezione delle reti informatiche e la correttezza degli interventi del personale sui dati, sono passaggi fondamentali come già previsto dal precedente Codice Privacy. Ma non bastano più. Oggi è necessario pensare a come realizzare i sistemi ed i processi già prima di metterli in atto.

Gli impatti del principio “Privacy by Design”

Un principio costitutivo del GDPR è la cosidetta “privacy by design”. Si tratta di un livello di protezione dei dati che viene garantito sin dalla progettazione, riguardo le modalità con cui i dati stessi vengono archiviati e trattati.

Un buon modo per occuparsi di GDPR è fare presente questo principio a tutte le funzioni aziendali. E allo stesso tempo sviluppare una consapevolezza basata su diversi punti di controllo.

  • Il contenuto del GDPR è conosciuto almeno nelle sue parti fondamentali?
  • I responsabili di funzione e di reparto che saranno toccati dal processo, sono stati informati adeguatamente anche attraverso comunicazioni aziendali adeguate?
  • E’ iniziata una raccolta di informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli?
  • E’ stato analizzato il rischio connesso alla protezione dei dati?
  • Si è deciso quali dati si intendano mantenere e quali invece possono essere eliminati?
  • Sono state identificate le contromisure di sicurezza necessarie?
  • E’ iniziato il disegno dei nuovi processi di gestione del dato? Sono stati adottati gli strumenti necessari per la gestione?
  • Si è cominciato a pensare alle procedure di mantenimento?

 

Il GDPR non è solo Information Technology

L’impatto del GDPR non riguarda solo l’Information Technology ma tutte le aree aziendali che potenzialmente possono acquisire, gestire, processare e archiviare dati personali. Sarà quindi necessario analizzare tutti i processi aziendali per disegnare le nuove attività riferite a:

  • Selezione e gestione del Personale
  • Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …)
  • Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti
  • Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.