Il 25 maggio 2018 il nuovo Regolamento Europeo per la protezione dei dati (GDPR) sarà attuativo, prevede doveri e obblighi delle aziende e delle PA in materia di protezione dei dati personali.
A chi affidare l' attività di adeguamento normativo? Ecco un articolo che ti aiuta a smascherare i "tuttologi" della privacy.
Con l'attuazione del nuovo regolamento la direttiva 95/46/CE sarà abrogata, mentre la legge nazionale D.Lgs n.196/2003 (Codice Privacy) non sarà abrogata automaticamente e dovranno essere disapplicate solamente le disposizioni in contrasto con il GDPR, che avrà quindi la prevalenza.
Misure di sicurezza adeguate
Il cambiamento sostanziale è il passaggio da un elenco di azioni sempre valido, a prescindere per tutte le aziende (Allegato B.), verso un foglio bianco, sul quale ogni azienda e PA dovrà scrivere quali sono le proprie misure idonee di sicurezza e perché le ha ritenute tali.
Con questo il GDPR non fa esclusioni, non perdete tempo cercando di capire se la vostra azienda deve adeguarsi, perché dovrà farlo, con modalità "su misura", in base ai propri rischi sui trattamenti che pone in essere.
Ecco che l'attività più importante da fare per adeguarsi al GDPR è l'analisi del rischio, perché ci fornisce informazioni affidabili sulle quali costruire le misure adeguate.
La prima competenza necessaria quindi non prevede solo la capacità di eseguire un'analisi del rischio affidabile, ma anche di riuscire a derivare e dedurre da questa le misure idonee di sicurezza da implementare, giustificando e rendicontando la scelta.
Il consulente sbagliato potrebbe limitarsi ad eseguire l'analisi del rischio senza procedere oltre.
Competenze Legali
Alle aziende viene anche richiesto che i propri responsabili terzi, ad esempio fornitori del campo ICT, si attengano alle misure idonee di sicurezza dell' azienda stessa, ad esempio nell' erogazione di servizi di assistenza e manutenzione ai sistemi informativi.
A questo scopo sarà necessario analizzare i contratti in essere dal punto di vista formale e legislativo e all’occorrenza modificarli.
Un buon esperto sul Regolamento Europeo non omette di occuparsi di questo, direttamente oppure tramite un legale specifico in materia.
Aspetti Operativi dell' adeguamento
Saranno necessarie più figure professionali che collaborano, non solo per poter eseguire le attività di varia natura, ma anche per far sì che non sia l'azienda cliente ad occuparsi del loro coordinamento.
Le figure professionali richieste dal nuovo regolamento dovranno avere competenze:
- Tecniche: per quanto riguarda la perimetrazione dei sistemi, l'analisi dei rischi sistemistici e lo studio delle misure idonee dal punto di vista sistemistico.
- Legali: per analisi dei contratti in essere con fornitori e di tutti gli aspetti legali del trattamento dei dati, analisi ambiti specifici (videosorveglianza, geolocalizzazione, biometria, e-commerce).
- Organizzative: per quando riguarda l'eventuale aggiornamento di processi e procedure, per l'adeguamento documentale (informative, lettere, consensi, registro, ecc.).
- Nuove: DPO (Data Protection Officer), non sempre necessario ma che non è il consulente privacy e che non può coincidere con esso.
In sostanza chi si occuperà della messa a norma ai sensi del GDPR di una azienda, dovrà essere un team di security engineer, privacy officer/DPO, avvocati ed esperti in 27001 che lavorerà a stretto contatto per lo svolgimento di tutte le attività richieste dalla nuova norma.
Per questo motivo, chi si presenta come consulente “tuttologo” prospettando di riuscire a seguire tutti queste attività e mettere a norma la tua realtà aziendale da solo, ti espone a rischi economici e reati penali. Leggi l'approfondimento legato alle sanzioni.