12 Giu 2018 GDPR: focus sui processi aziendali
Dal 25 maggio è efficace il cosiddetto GDPR, Regolamento generale sulla protezione dei dati europeo, che cambia la prospettiva e l’approccio nei confronti del trattamento e della protezione dei dati personali.
Qualsiasi azienda che tratti dati di persone che si trovano nel territorio dell’Unione Europea deve adeguarsi al regolamento, valutando attentamente ogni tipologia di trattamento effettuata: quali dati raccolgo? Come li raccolgo? Come li archivio? Per quali scopi verranno utilizzati?
Quali sono quindi gli aspetti fondamentali che ogni azienda dovrebbe analizzare per potersi adeguare al GDPR?
Aspetti da valutare per l’adeguamento al GDPR
- Struttura di governance: ogni azienda deve individuare chi saranno i responsabili della privacy e definire le procedure di segnalazione ai fini gestionali
- Gestione dell’archivio di dati personali: è di primaria importanza valutare come viene gestita l’archiviazione dei dati personali e definire quali sono i flussi seguiti da ciascun tipo di dato
- Informative e policy: ogni azienda deve prevedere delle politiche e procedure ben precise, che dovranno essere seguite ogni qualvolta si abbia a che fare con dati personali, definendo preventivamente come dovranno essere gestiti i rischi operativi
- Formazione: il personale deve essere formato in modo continuativo sulla tematica della privacy, assicurando così che ognuno sia adeguatamente preparato per la gestione dei dati prevista dal proprio ruolo lavorativo
- Gestione del rischio connesso all’Information Security: deve essere definito un programma di sicurezza delle informazioni e di valutazione dei rischi (DPIA)
- Gestione del rischio di terze parti: valutare se i contratti con terze parti sono adeguati in termini di riservatezza dei dati, policy e rischi operativi
- Comunicazioni: lo scambio di informazioni e comunicazioni deve avvenire secondo quanto definito nelle privacy policy.
- Risposta a richieste e reclami: l’azienda deve prevedere delle procedure efficaci per rispondere a richieste e richiami di privati in materia di dati personali
- Nuove pratiche operative: ogni azienda deve monitorare le pratiche organizzative ed operative in essere, al fine di identificare nuovi processi o modificare quelli già esistenti e garantire quindi l’attuazione della Privacy by design
- Data breach: si devono prevedere delle specifiche procedure di gestione di un eventuale data breach (fuga di dati)
Ridefinire i processi aziendali in ottica GDPR
Risulta quindi evidente che, per potersi adeguare al nuovo regolamento sulla protezione dei dati personali, per prima cosa è necessario che ogni azienda valuti attentamente i processi che comportano la raccolta ed il trattamento di dati personali e predisponga di conseguenza dei modelli organizzativi specifici.
In questo contesto, l’utilizzo di specifici strumenti informatici e software facilita molto la gestione di dati, processi e procedure, in modo compliant con il regolamento.