GDPR, conto alla rovescia. Adeguarsi è possibile?

08/05/2018
di Redazione Colin Partners

Il testo sulla protezione dei dati personali entra definitivamente in vigore a maggio di quest’anno ma non contiene esplicite guidelines: l’obiettivo è spostare l’attenzione sulla gestione di un rischio che può variare molto in funzione del settore in cui opera l’azienda o l’organismo che ha a che fare con le informazioni. Un approccio familiare a chi si occupa di cyber security, ma che non si esaurisce in uno o più tool da implementare. Ecco le cose essenziali da conoscere, tenendo conto di un aspetto critico per una normativa che sanziona in modo molto severo la “non adeguatezza”: il percorso verso la compliance è lungo, in molti casi oneroso (non solo in termini di costi) e molte aziende sono in ritardo ed esposte al rischio-sanzioni. Ma per fortuna possiamo contare su un ampio mercato di soluzioni e servizi di consulenza.

Privacy by default, accountability, impact analysis, obbligo di denuncia, data minimization e retention. E così via. Il regolamento europeo sulla protezione dei dati personali (GDPR) conferma e rafforza diversi trend normativi già affermatisi nel corso del tempo in Europa, con una forte chiamata in corresponsabilità delle aziende e un sistema di sanzioni – vere e proprie multe espresse in percentuale dei fatturati aziendali – che sulla carta può diventare molto oneroso e difficilmente aggirabile. Il legislatore europeo ha sicuramente agito in linea di continuità con il passato, ma allo stesso tempo si rivolge alle imprese e ai responsabili delle loro infrastrutture informatiche, chiedendo un impegno ancora maggiore. Non solo in termini di tracciabilità delle informazioni – con una riduzione dei margini di rischio di esposizione delle stesse, per esempio attraverso nuovi metodi di anonimizzazione dei dati (disaccoppiamento tra informazioni generiche e informazioni anagrafiche), riduzione del volume complessivo delle informazioni conservate e della loro ridondanza, rimozione delle informazioni non più utili alla conduzione del business – ma anche in termini di capacità di individuare rapidamente le violazioni avvenute, che secondo il nuovo regolamento devono essere tempestivamente e volontariamente segnalate alle autorità centrali.

Compliance in chiaroscuro

Binomio inscindibile

Una grossa area di incertezza percepita dalle organizzazioni che sono tenute a rispettare il regolamento, riguarda proprio le contromisure vere e proprie da adottare. Al momento, dal legislatore non sono ancora arrivate linee guida precise o best practice da implementare e come vedremo in seguito – dall’intervista con l’avvocato Valentina Frediani, founder e CEO dello studio Colin & Partners che abbiamo coinvolto in questo dossier – l’assenza di un preciso codice di comportamento è stata per così dire ingegnerizzata da un legislatore che ha voluto fissare una serie di obiettivi e presupposti, lasciando a chi deve ottemperare al regolamento, uno spazio di manovra che agisce anche da stimolo alla lettura e alla comprensione di un testo, che secondo Valentina Frediani è molto più esplicito del temuto. Come affermava Alessandro Cecchetti, general manager dello stesso studio specializzato in consulenza legale informatica, nel corso della tavola rotonda organizzata da Data Manager proprio per fare chiarezza sull’adozione del GDPR, la mancanza di precise norme di comportamento invita a rispettare l’unica regola possibile: leggere con cura il testo, individuare i punti di aderenza alla propria realtà procedurale e infrastrutturale e implementare di conseguenza le necessarie misure tecniche e organizzative. Si andrà a creare così – sottolineava Cecchetti – il binomio inscindibile voluto dal legislatore, quello tra il dato digitale inserito nel contesto delle infrastrutture e delle applicazioni informatiche e l’informazione considerata dal punto di vista del business e dei suoi processi.

Alla base del principio di responsabilizzazione che ispira il testo della normativa, c’è l’obbligo da parte dell’azienda di essere in grado di dimostrare l’adeguatezza con la quale è stato affrontato il tema della protezione del dato digitale. In altre parole, l’organizzazione è tenuta a stendere un accurato piano di valutazione da cui potrà derivare l’implementazione di contro misure sia tecniche (come per esempio l’uso della cifratura delle informazioni, o di tool che consentano un uso anonimo del dato personale) sia organizzative (per esempio la gestione improntata a una minore ridondanza dei dati e all’eliminazione di tutto ciò che non ha più utilità per il business). Un’altra forte motivazione dell’estensore della nuova direttiva europea è quella di evitare la definizione di norme preconfezionate e “one size”, proprio per venire incontro all’esigenza di una protezione più adatta allo specifico settore di attività. Uno dei tratti distintivi della compliance consiste proprio nello studio dei trattamenti e delle peculiarità che caratterizzano un’azienda di produzione industriale o un istituto di credito. Questo inevitabilmente comporta la capacità di analisi delle singole situazioni e la creazione di un percorso su misura. In una ottica che volutamente il legislatore ha inteso di vero e proprio risk management.

Continua a leggere su DataManager.it

Riproduzione riservata ©

ALTRE NEWS

One year to GDPR: a un anno esatto dalla sua applicazione, le priorità per le aziende

Il giro di boa è arrivato: manca un anno esatto alla completa applicabilità del nuovo Regolamento europeo sulla data protection (GDPR). Lo abbiamo riassunto in… Leggi Tutto

In caso di installazione di telecamere in un camping dove non ci sono dipendenti occorre applicare l’art. 4 Statuto dei Lavoratori ?

Secondo quanto descritto dall’articolo 4 dello Statuto dei Lavoratori, il datore di lavoro intenzionato ad installare un impianto di videosorveglianza all’interno della propria azienda, ha… Leggi Tutto

Documenti informatici: ecco finalmente le regole tecniche

Dopo la pubblicazione delle Regole tecniche circa la conservazione del documento informatico (DPCM del 3 dicembre 2013), mancavano ancora all’appello le Regole tecniche in materia… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form