GDPR Privacy by Design

GDPR: come adeguarsi?

Il GDPR richiede un processo di adeguamento

Il GDPR è un regolamento di grande impatto per i business di tutte le dimensioni. E’ opportuno essere in regola per coglierne i benefici e non incorrere in problemi relativi a sanzioni o anche in termini di relazioni con i dipendenti, i clienti, i fornitori e il pubblico.

Da cosa iniziare?

La protezione delle reti informatiche e la correttezza degli interventi del personale sui dati, sono passaggi fondamentali come già previsto dal precedente Codice Privacy. Ma non bastano più. Oggi è necessario pensare a come realizzare i sistemi ed i processi già prima di metterli in atto.

Gli impatti del principio “Privacy by Design”

Un principio costitutivo del GDPR è la cosidetta “privacy by design”. Si tratta di un livello di protezione dei dati che viene garantito sin dalla progettazione, riguardo le modalità con cui i dati stessi vengono archiviati e trattati.

Un buon modo per occuparsi di GDPR è fare presente questo principio a tutte le funzioni aziendali. E allo stesso tempo sviluppare una consapevolezza basata su diversi punti di controllo.

  • Il contenuto del GDPR è conosciuto almeno nelle sue parti fondamentali?
  • I responsabili di funzione e di reparto che saranno toccati dal processo, sono stati informati adeguatamente anche attraverso comunicazioni aziendali adeguate?
  • E’ iniziata una raccolta di informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli?
  • E’ stato analizzato il rischio connesso alla protezione dei dati?
  • Si è deciso quali dati si intendano mantenere e quali invece possono essere eliminati?
  • Sono state identificate le contromisure di sicurezza necessarie?
  • E’ iniziato il disegno dei nuovi processi di gestione del dato? Sono stati adottati gli strumenti necessari per la gestione?
  • Si è cominciato a pensare alle procedure di mantenimento?

 

Il GDPR non è solo Information Technology

L’impatto del GDPR non riguarda solo l’Information Technology ma tutte le aree aziendali che potenzialmente possono acquisire, gestire, processare e archiviare dati personali. Sarà quindi necessario analizzare tutti i processi aziendali per disegnare le nuove attività riferite a:

  • Selezione e gestione del Personale
  • Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …)
  • Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti
  • Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.
Read More

Il GDPR: un’occasione per fare ciò che serve…

La protezione dei dati personali cambia in tutta l’Unione Europea in modo deciso a partire dal 2018, con regole che abrogheranno la Direttiva 95/46/CE in quanto norma di riferimento.

Cosa comporta il GDPR

Il cambiamento aumenterà il livello di protezione dei dati personali dal momento che la digitalizzazione è ormai parte integrante delle nostre attività quotidiane, sia in ambito professionale che privato.

Proteggere i propri dati personali è possibile ma richiede provvedimenti strutturati e un insieme organico di norme, responsabilità e sanzioni che il nuovo ordinamento (chiamato General Data Protection Regulation o GDPR) si propone di attivare.

In sintesi, si passa da una protezione formale ad un sistema capace di proteggere realmente i dati stessi tramite processi dedicati in grado di rendere attuabili le norme, in relazione alle tecnologie che oggi utilizziamo.

I Social Network oggi rappresentano l’esempio più immediato quando ci si riferisce  al concetto di protezione del dato personale ma non esistevano ancora ai tempi dell’emanazione delle prime normative che regolamentavano la privacy.

Come approcciare il GDPR

Ci sono tanti modi per vedere il GDPR. Uno di questi è che il provvedimento è anzitutto un modo per occuparsi di Sicurezza.  Un modo per realizzare quegli adeguamenti dell’infrastruttura che non sono stati realizzati da anni per mancanza di budget ma spesso anche per sottovalutazione dei rischi.

In questo caso il GDPR ha stimolato lo sguardo prudente e a volte inconsapevole delle aziende, tracciando un nuovo approccio circa quegli interventi necessari da adottare e lasciati in sospeso a causa di una cultura sulla Sicurezza che non è progredita di pari passo con l’evoluzione e l’aumento delle minacce informatiche.

Il GDPR: un’occasione importante

Ecco dunque che i diversi aspetti su cui si articola il GDPR non devono essere presi (solo) come l’ennesimo obbligo di adeguamento ad una normativa complessa ma come un vero e proprio processo aziendale con conseguente piano di lavoro sempre attivo nell’agenda delle aziende.

Ricordiamo inoltre che non si tratta solo di adottare contromisure tecnologiche che richiedono alte competenze informatiche, ma anche di essere consci che il GDPR ha un altissimo impatto in ambito organizzativo.

E’ certo ormai che nei compiti dell’IT ci sia non solo la predisposizione degli strumenti necessari per la difesa dalle cyber-minacce. La formazione agli utenti finali per renderli consapevoli delle minacce stesse e delle conseguenti corrette modalità di comportamento da adottare durante la produzione, elaborazione, circolazione e salvaguardia di dati e informazioni è infatti un ruolo altrettanto fondamentale.

Richiedi l’analisi gratuita della tua situazione rispetto al GDPR a Bitech scrivendo a info@bitech.it

Read More