GDPR: best practices, raccomandazioni e aspetti da considerare

Si è svolto a Roma Cybersecurity Summit 2018, l’evento organizzato da TIG con l’obiettivo di fare il punto sulle principali tematiche di cyber security tenendo conto dell’impegno dell’UE e dei singoli Stati membri nel tutelare le infrastrutture critiche. Tra i temi trattati quello inerente le novità normative, una fra tutte il GDPR (General Data Protection Regulation). Il Laboratorio pomeridiano è stato così l’occasione per approfondire e discutere il tema “Implementazione del regolamento GDPR (privacy UE): best practices, raccomandazioni e aspetti critici da considerare”. Tra i partecipanti, oltre a Cosimo Comella, Garante per la Protezione dei dati personali e Roberto Fermani di TIM, anche Alessandro Cecchetti, General Manager, Colin & Partners.

Un ambiente digitale globale, interconnesso, aperto e dinamico genera notevoli opportunità economiche, ancora più promettenti se si pensa alla crescente diffusione dell’Internet delle cose e dei Big Data. Tuttavia, Paesi e aziende sono esposti a minacce sempre più sofisticate e crescenti che possono mettere in pericolo la sicurezza delle informazioni e compromettere la prosperità economica e sociale.

Durante il suo intervento ha sottolineato quanto variabile sia ancora, nonostante la manciata di giorni che separano dalla completa applicazione del GDPR, l’iter di conformità intrapreso dalle aziende italiane.

La difficoltà principale che le imprese stanno affrontando è senza dubbio quella che riguarda il cambio di mentalità e approccio al tema data protection. La norma europea, infatti, richiede una visione di insieme che ponga al centro la privacy durante tutto il ciclo di via dei dati.

Occorre dunque analizzare con attenzione, qualunque siano dimensioni e core business aziendali, ogni aspetto dei trattamenti in programma ed effettuati. Sistemi informativi e procedure devono quindi assolvere alle misure previste dal GDPR ed essere correttamente applicate da chi deve metterle in pratica.

E’ in effetti questo il senso del principio di Privacy-by-design, un approccio metodologico preciso che pone al centro la tutela del dato già in fase di progettazione. Questo significa comportarsi in modo proattivo e non reattivo, prevenire piuttosto che correggere e garantire piena protezione durante l’intero ciclo vitale. Tutto questo ponendo al centro l’utente, rispettandone la riservatezza e operando con trasparenza.

Allo stesso modo la privacy by default obbliga il Titolare a porre in atto misure tecniche ed organizzative adeguate a garantire che siano trattati di default solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità.

Considerando infine il principio di Accountability, che obbliga i responsabili a saper dimostrare di aver posto in atto tutte le misure necessarie alla tutela del dato, risulta evidente come le scelte di conformità al GDPR divengono fondamentali per i vertici manageriali e non solo per i comparti ICT.

Da non sottovalutare l’importanza della documentazione a supporto di molteplici aspetti – quali informative e consenso, periodo di data retention, ecc. – e che sarà comunque fondamentale ai fini dell’accountability.

Altrettanto importante è la revisione della contrattualistica aziendale. Accordi già in essere con durata pluriennale e nuovi accordi vanno rivisti o modificati in base ai dettami GDPR. Occorre, inoltre, non concentrarsi esclusivamente sui contratti più rilevanti a livello economico. Fornitori occasionali o minori possono, se non compliant, accrescere enormemente il rischio di violazioni delle norme europee in tema di data protection.

Considerando la severità del nuovo impianto sanzionatorio risulta dunque evidente l’importanza di questi ultimi mesi per verificare il percorso di conformità intrapreso e mitigare i rischi connessi al trattamento di dati personali attuando corrette strategie di governance interna.

Articolo pubblicato su Caffé Digitale