GDPR, un anno dopo…

Un bilancio dei pro e contro del nuovo Regolamento Generale di Protezione dei Dati, a poco meno di un anno dell’entrata in vigore

Regolamento Generale di Protezione dei Dati, cosa cambia in Italia dal 16 maggio 2019 ? Termina il periodo di tolleranza nei controlli denominato “fase di prima applicazione”, quindi da quella data  il Garante applicherà le previste sanzioni amministrative in caso di violazioni.

Così dispone infatti l’art.22, comma 13 del Decreto Legislativo 101 del 4 settembre 2018 (Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679) che prevede un periodo di 8 mesi prima dell’obbligatorietà delle sanzioni.

E’ giusto di ieri (9 marzo n.d.r.) la notizia, uscita su Wired e basata sullo studio Sweep 2018, che una regione italiana su cinque non ha ancora procedure per affrontare gli attacchi cyber. E metà delle regioni non sa come rispondere ai reclami dei cittadini.

Non è dunque troppo tardi per mettersi in regola e per un’organizzazione di media grandezza, questi sono a mio avviso i passi da prendere in considerazione:

  • Stabilire un piano di azione, per adeguare l’organizzazione alla normativa nell’immediato e per programmare una strategia di medio periodo relativa ai flussi di dati
  • Formare il personale. La formazione è utile a far emergere criticità nel trattamento dati a tutti i livelli
  • Predisporre, in formato cartaceo ed elettronico il registro dei trattamenti e adeguare tutta la modulistica e le privacy policy già pubblicate nei vari canali. La compilazione deve essere un’occasione per mettere nero su bianco ciò che succede in azienda con i dati, vostri o di clienti, fornitori, dipendenti
  • Se l’organizzazione o le modalità di trattamento lo richiedono, procedere con un’analisi dei rischi, presenti e futuri. La procedura denominato DPIA (valutazione d’impatto, o Data protection impact assessment) è sicuramente una metodologia condivisibile, ma è utile anche prevedere test sulla sicurezza dell’infrastruttura.

Insomma, c’è ancora molto da fare e occorre procedere tenendo bene in mente che l’adeguamento al GDPR non deve essere affrontato come un obbligo, ma come occasione per aumentare la sicurezza dei processi aziendali che hanno a che fare con i dati (se non siete convinti potete leggere quello che ho scritto a proposito di un nuovo approccio alla cybersecurity, qui trovate l’articolo.