GDPR IS COMING
Il regolamento generale sulla protezione dei dati personali UE 2016/679 (GDPR), già in vigore ma pienamente applicabile dal 25 maggio 2018, ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali. Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection (figura).

RISCHI E SANZIONI
Il rischio è molto alto. Tre società su cinque, dichiarano di non essere pronte ad attuare le modifiche previste dal nuovo regolamento sulla protezione dei dati. Secondo un recente studio il 22% delle aziende prevede di diventare conforme al GDPR entro il 2018. Tuttavia, potrebbe essere troppo tardi; la data limite del 25 maggio è nota ormai da due anni.
La violazione del GDPR ha diverse conseguenze. Le più discusse e quelle che più preoccupano le aziende sono quelle economiche. Le autorità avranno, infatti, la possibilità di imporre multe fino a 20 milioni di euro o il 4% del fatturato annuale totale di un’azienda. Ovviamente, queste ammende saranno inflitte sulla base di vari fattori come la natura, la gravità e la durata dell’inadempienza (ad esempio, quante persone sono state coinvolte e quali danni ha causato), se è dovuta a negligenza, se c’è una storicità del comportamento etc.
Oltre alle ammende amministrative, le società potranno subire anche ulteriori ripercussioni finanziarie, come richieste di risarcimento avanzate da persone i cui dati personali sono stati violati.
Il mancato rispetto del GDPR potrebbe inoltre assoggettare le aziende al disprezzo pubblico. Il maggior grado di trasparenza richiesto dal nuovo Regolamento e l’obbligo di notificare alle autorità le violazioni dei dati, infatti, potrebbero attirare maggiore attenzione verso l’azienda, senza dimenticare l’opinione negativa che i clienti avranno, sapendo che i loro dati non sono stati protetti. La mancanza di fiducia e la pubblicità negativa dovrebbero preoccupare, ancora di più delle multe.
COSA FARE?
Per ottemperare correttamente alle disposizioni ed essere compliant al GDPR, le aziende devono definire un percorso di adeguamento e poter dimostrare le azioni implementate e quelle ancora da fare, opportunamente inserite all’interno di un piano d’azione.
In questo contesto, è fondamentale per ciascuna delle organizzazioni che deve adeguarsi definire un percorso strutturato e sostenibile per essere GDPR compliant entro maggio 2018 e, allo stesso tempo, essere in grado di dimostrare sia le azioni implementate, e le relative motivazioni, sia le azioni ancora da implementare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:
1. identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario – circolare n.285 del 17 dicembre 2013)
2. individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso.
3. analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali.
4. mappatura preliminare dei trattamenti e creazione del registro dei trattamenti (vedi articolo 30 del GDPR)
5. identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti
6. definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi
7. implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure (es. gestione dei diritti degli interessati), progettazione ed erogazione di iniziative volte sensibilizzare e formare dipendenti e collaboratori; revisione delle misure di sicurezza per la protezione dei dati personali
Scopri le nostre soluzioni su misura
Ai nostri associati offriamo servizi più o meno invasivi in funzione della tipologia di azienda, del numero di addetti, del tipo di trattamento dati, con l’obiettivo di fornire ai nostri clienti le condizioni minime per poter essere compliant con le direttive del GDPR.
Soluzioni SMART, EXECUTIVE e PREMIUM
Contattaci per sapere di più!