Adeguamento al GDPR: che cosa prevede? GDPR è l’acronimo inglese di General Data Protection, e indica il regolamento europeo – in vigore dal 25 maggio 2018 – che ha sistematizzato le norme sulla raccolta e il trattamento dei dati personali. Spesso si tende a pensare che adeguamento al GDPR e rispetto della privacy indichino il medesimo concetto, ma non è propriamente così. Per privacy intendiamo il diritto fondamentale alla riservatezza delle informazioni personali e della vita privata di ciascuno. Il GDPR ha un ambito di applicazione più ampio, poiché mira non solo a garantire la protezione dei dati personali, ma anche a favorirne la libera circolazione in maniera sicura. Non esiste infatti adeguamento al GDPR senza sicurezza. La normativa in breve Volendo sintetizzare, potremmo enunciare come segue le principali disposizioni del GDPR: Introduzione del concetto di Responsabilizzazione (Accountability) dei titolari del trattamento dati, ovvero l’invito all’adozione di comportamenti proattivi per la tutela dei dati personali, considerando anche i rischi che un determinato trattamento delle informazioni può comportare per i diritti e le libertà degli interessati;Adozione del Registro dei trattamenti di dati personali – obbligatorio per le imprese che contano almeno o più di 250 dipendenti – allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda;Introduzione di importi più elevati per le sanzioni amministrative pecuniarie, che variano nel massimo a seconda delle disposizioni violate;Introduzione di regole più chiare su informativa e consenso, con ampliamento della categoria di diritti spettanti all’interessato;Obbligo per il titolare del trattamento di comunicare al Garante eventuali violazioni dei dati personali (Data breach) che impattano sui diritti e sulle libertà degli interessati;Introduzione della figura del Responsabile della protezione dei dati (Data Protection Officer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti. A che punto siamo con l’adeguamento al GDPR? Le priorità operative in un percorso di adeguamento al GDPR sono tre: La designazione del Responsabile della protezione dei dati;L’istituzione del Registro delle attività di trattamento;La notifica dei data breach. Secondo i dati raccolti nel 2019 dall’Osservatorio Information Security e Privacy del Politecnico di Milano, l’adeguamento al GDPR non è ancora diventato una pratica consolidata all’interno delle aziende. Su un campione di 166 grandi imprese, è infatti emerso che il 55% ha completato l’adeguamento al GDPR, il 30% ha un progetto in corso, ma c’è ancora un 10% che non ha nemmeno sottoposto all’attenzione del Management la tematica. Tale tendenza è solo apparentemente smentita dall’indagine condotta su un campione di 518 PMI. Nonostante il 65% abbia iniziato e/o concluso un percorso di adeguamento al GDPR, la maggior parte di esse dichiara infatti di non aver modificato i processi e di aver svolto un’attività solamente formale. C’è quindi ancora molta strada da fare per raggiungere la completa compliance alla normativa, che richiede di abbandonare l’approccio formalistico in favore di un approccio sostanziale e concreto, che agisca su processi, procedure, ruoli e responsabilità. Migliorare la sicurezza di tutta l’azienda con l’adeguamento al GDPR Il principio alla base del GDPR è la sicurezza del dato stesso, che, nell’ottica del legislatore, viene garantita dalla capacità delle reti o dei sistemi informativi di resistere a eventi e attacchi imprevisti o dolosi. Ne consegue che l’adeguamento al GDPR non consente solo di migliorare la protezione dei dati personali trattati all’interno delle imprese, ma anche di elevare il livello di sicurezza di tutti i dati aziendali. GDPR e cybersecurity A seguito dell’entrata in vigore del GDPR, ogni azienda deve investire in tecnologia per accertarsi di aver messo in sicurezza i dati, le applicazioni, i sistemi, le reti e gli utenti. Il primo passo è quello di diventare consapevoli del tipo d’informazioni che si detengono, raccolgono e processano, di dove questi dati vengano conservati, di chi ne abbia accesso e di come vengano protetti. In seguito si deve passare all’analisi dei rischi, individuando le minacce ai dati trattati dall’azienda e gli adeguati sistemi di protezione da mettere in atto. Il miglioramento della sicurezza IT gioca quindi un ruolo fondamentale, perchè garantisce: Adeguamento alle normative vigenti;Protezione da cybercrime, errori umani e relativi risvolti economici;Integrità dei dati e continuità del business;Buona reputazione aziendale e qualità per Clienti, Rivenditori e Fornitori. Le soluzioni di Sanmarco Informatica per l’adeguamento al GDPR Smitech, la Business Unit di Sanmarco Informatica dedicata alla tecnologia, è specializzata nel miglioramento della sicurezza informatica attraverso la realizzazione di progetti di infrastruttura IT e lo sviluppo di servizi gestiti di Cybersecurity. In ambito GDPR, le proposte sono molteplici. Progetti di adeguamento base Negli ultimi anni abbiamo avuto modo di seguire svariati progetti di adeguamento al GDPR, con peculiarità diverse in base alla tipologia dei clienti. Il nostro approccio è caratterizzato da gradualità, condivisione e ripartizione dei compiti, integrando competenze legali e di sicurezza IT. L’obiettivo è sempre quello di portare all’interno delle organizzazioni la consapevolezza della normativa e del lavoro da svolgere, proponendo l’adeguamento al GDPR come opportunità di miglioramento di tutti i processi e per la protezione tout court di ogni tipologia di dati. Il percorso di adeguamento che proponiamo si articola nelle seguenti fasi: Check-up preliminare e definizione organigramma privacy;Analisi dei trattamenti e redazione Registro delle attività di trattamento ;Analisi di security e analisi del rischio privacy, basate su standard e framework internazionalmente riconosciuti;Fase documentale (informative, designazioni, nomine dei responsabili esterni, registri e procedure);Riunione conclusiva per condivisione relazione finale, con sintesi attività svolte e proposta possibili ulteriori misure da adottare (es. regolamento aziendale protezione dati, definizione policy, formazione, misure di IT Security per ridurre i rischi rilevati). Gestione continuativa dell’adeguamento al GDPR Una volta completata la prima fase di adeguamento al GDPR, occorre pensare a come tenere aggiornato e revisionato il sistema di protezione dei dati personali creato. Si tratta cioè di attuare una gestione continuativa del regime di conformità. A tale scopo, Smitech offre una serie di soluzioni personalizzabili in base alle specifiche esigenze. Servizi a pacchetto Audit / revisione annuale delle misure organizzative e tecniche adottate;Supporto a fronte di aggiornamenti normativi;Aggiornamento semestrale analisi dei Rischi;Vulnerability Assessment semestrale con produzione di report personalizzati. Outsourcing completo Per le imprese che non possono o non intendono occuparsi autonomamente del sistema di gestione dei dati personali, SMITech può svolgere le seguenti attività: Definizione di policies personalizzate in materia di protezione dei dati personali;Definizione di policies personalizzate in materia di IT Security;Gestione diretta degli adempimenti previsti dalla normativa di riferimento;Istruzione responsabili esterni su adempimenti da svolgere e procedure da adottare;Servizi gestiti di Cyber Security (es. per la sicurezza perimetrale, la protezione delle postazioni di lavoro, la gestione dei back up). Servizi aggiuntivi Oltre a quanto appena descritto, i nostri consulenti sono a disposizione anche per progetti di: Formazione data protection del personale e di tutti i soggetti che trattano dati in azienda;Gestione dei Data breach;Videosorveglianza aziendale;Gestione log/Amministratori di Sistema;Verifica del livello di conformità al GDPR.