Cybersecurity & Privacy

GDPR: Cosa Verificare Questa Settimana con una Calma Zen

Scritto da Paolo Monini | May 20, 2018 10:00:00 PM

Nelle aziende e pubbliche amministrazioni italiane in questi giorni si sta scatenando il panico da GDPR, lo capiamo dalle nostre caselle e-mail, bombardate di richieste di informazioni dai nostri clienti e dai telefoni che non smettono mai di squillare.

Ora metti da parte ansia e panico e leggi questo articolo che ti farà sentire meglio.  

Come essere Zen a una settimana dalla deadline del GDPR?

 

A una settimana dall’entrata in vigore esecutiva del GDPR ci sono una serie di controlli che puoi fare per ritrovare una calma Zen e trasmettere lo stesso stato d’animo ai tuoi colleghi e collaboratori.

Ecco una lista di dieci punti su cui focalizzarsi per affrontare l’ultima settimana in modo costruttivo e sereno senza farsi prendere da distrazioni e contagiare da chiunque sia che hanno sentito dire che il GDPR è il primo segno dell’Apocalisse.

 

Il 25 maggio è un punto di partenza

 

Da diverse settimane troviamo un clima da notte prima degli esami da parte di moltissimi operatori economici e pubblici, molto teso e volto alla ricerca di quali fossero le azioni di adeguamento.

Il problema è proprio questo: non ci sono moduli standard da seguire perché il regolamento europeo ha modificato l’approccio alla gestione e protezione del dato passando ad una logica di maggiore responsabilizzazione mediante l’applicazione dei nuovi principi: accountability, privacy by design e privacy by default, valutazione del rischio nel trattamento, valutazione d’impatto preventivo, nomina del Dpo nei casi in cui è previsto.

È proprio l’approccio a disorientare molti di noi, abituati fino ad oggi a correggere le azioni sulla base di specifiche indicazioni.

 

Ti confermiamo che il GDPR entro il 25 Maggio 2018 non è la fine ma è un inizio, il Regolamento europeo rappresenta un nuovo punto di partenza.

 

Cosa devi assolutamente fare entro venerdì 25 maggio?

Entro la data del 25 maggio attivati per implementare queste azioni:

  • Aver sempre a disposizione il testo del regolamento generale sulla protezione dei dati 679/2016 (EU-RGPD) -  per rimanere informato.
  • A questo punto identificati i trattamenti dei dati e mappali sia che siano cartacei che digitali.

  • Nomina per iscritto i dipendenti e collaboratori aziendali che accedono ai dati ed incarica tramite contratto di servizio i responsabili esterni al trattamento.

  • Descrivi con esattezza, per ogni tipologia di trattamento la procedura di gestione.

  • Nella valutazione dei rischi sui trattamenti fatti aiutare anche dal tuo fornitore ICT di fiducia e valuta con lui se le misure di sicurezza informatiche siano ADEGUATE alla tipologia dei trattamenti che stai effettuando.

  • Aggiorna le informative ed i consensi che hai sul sito web e anche quelle che consegnate regolarmente sui canali tradizionali prima di raccogliere i dati.

  • Creati una procedura interna di chi si occuperà delle eventuali richieste di accesso ai dati, bisogna rispondere entro 30 giorni dalla richiesta dell’interessato.

  • Partecipa ad eventi formativi e corsi specifici in maniera continuativa.

  • Analisi e valutazione dei rischi incombenti sui trattamenti dei dati dell’organizzazione, facendo focus principalmente su quali dati delle persone fisiche (interessati) ed in quali modalità vengono raccolti, archiviati, etc e per quali finalità. Cercando di capire se tratti anche dati particolari quindi sanitari, religiosi, razziali, opinione politiche, eccetera; e per il tramite di quali processi interni e con quali sistemi/processi (asset) vengono gestiti.

  • Nomina del Dpo entro il 25 maggio 2018.

Come sapere se devi nominare un DPO?

Articolo 37 EU RGPD "Designazione del responsabile della protezione dei dati":

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  1.  Il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

  2.  Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

  3.  Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

A marzo il Garante della Privacy ha stabilito che le aziende che devono necessariamente nominare un DPO sono:

  • Assicurazioni
  • Sistemi di informazione creditizia
  • Finanziarie
  • Società di informazioni commerciali
  • Revisori contabili
  • Recupero crediti
  • Istituti di vigilanza
  • Partiti e movimenti politici
  • Sindacati
  • Caf e patronati
  • Società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas)
  • Imprese di somministrazione di lavoro e ricerca del personale
  • Società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria tra cui: ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione
  • Call center
  • Servizi informatici
  • Società che erogano servizi televisivi a pagamento.

 

Sul DPO leggi anche questo approfondimento.

 

Per tornare Zen, devi pensare necessariamente ad un nuovo modello organizzativo!

Per tornare Zen, usa il ciclo di Deming

Per rafforzare la tua azienda, in questa fase, puoi utilizzare il metodo PDCA: Plan, Do, Check, Act.

Il ciclo di Deming ti consente di migliorare in modo costante i processi e i risultati aziendali.

Nella prima fase stabilisci gli obiettivi da raggiungere, nella seconda attui quelle misure che ti permettono di raggiungerli, a questo punto non ti resta che verificare il funzionamento e adottare ulteriori misure di miglioramento del processo, nel caso ce ne sia bisogno.

È un metodo per governare i processi aziendali che si sposa benissimo con il passaggio dalla vecchia 196 al nuovo GDPR.