Speciale GDPR - Office Automation

SPECIALE GDPR

dicembre 2017

è un fattore fondamentale e che il tema della privacy

rende l’argomento dei dati decisamente prioritario per

ogni organizzazione.

Tra i temi trattati nel corso della presentazione quando

si parla di controllo c’è stato quindi quello della nomina

del DPO (data protection officer), una figura indipen-

dente ed esperta della materia che alcune realtà de-

vono inserire in organigramma (libero professionista o

dipendente, privo di conflitto di interessi rispetto agli

altri reparti) e che si rapporta direttamente con il ver-

tice aziendale. Verificando la corretta applicazione delle

normative in merito al trattamento dei dati personali e

interfacciandosi con gli altri attori in gioco.

Contemporaneamente cambia anche l’approccio sul con-

senso dei soggetti associati ai dati personali, in termini

di azioni chiare ed esplicite. Questo significa che l’orga-

nizzazione deve essere in grado di trasmettere fiducia e

di conseguenza rispettare diritti come quelli di accesso,

opposizione, rettifica e oblio. Ma anche di informazione

degli interessati e dei supervisori in caso di violazioni e

brecce nella sicurezza, e di comunicazione più in gene-

rale, al proprio interno così come all’esterno.

Un percorso organizzativo da avviare

il prima possibile

“Non dimentichiamo che la fiducia è qualcosa che richiede

anni per essere costruita, ma basta un unico errore per

distruggerla. Al contrario, per ripararla dai danni subiti

bisogna mettere in conto un tempo infinito”, ha sotto-

lineato Willemsen indicando quindi come il rispetto del

GDPR non sia solo una questione di adeguamento alle

normative, ma in gioco c’è ben di più.

In tal senso l’agenda suggerita da Gartner alle realtà che

devono ancora impegnarsi su questo percorso preve-

de che nel giro di poco tempo, ma il prima possibile, si

discuta con i responsabili di business per assegnare le

priorità corrette alle azioni da intraprendere. Quindi è

necessario assemblare un team, guidato dal Data Pro-

tection Officer. Tre mesi di tempo invece sono da de-

stinare all’avvio di un Privacy Impact Assessment utile a

identificare e correlare tra loro obiettivi, dati e misure,

e progettare i processi tenendo conto dei diversi diritti

da rispettare. Infine vanno inclusi, negli accordi stretti

con chi elabora i dati, tutti i necessari obblighi da ri-

spettare. “Prima del 25 maggio 2018 bisogna garantire

la compliance con il GDPR e nel frattempo assumere

il controllo di nuove iniziative. Attenzione comunque a

valutare lo stato dell’organizzazione almeno una volta

all’anno per identificare le falle che eventualmente si

sono aperte successivamente o sono rimaste indietro”,

ha dichiarato Willemsen. Insomma, usando la metafora

della moto, prima di cercare di compiere un giro da re-

cord bisogna avere prima il pieno controllo del mezzo.

Cinque azioni ad alta priorità

Il nuovo Regolamento generale sulla protezione dei dati

conosciuto semplicemente come GDPR, a cui la gran

parte delle organizzazioni dovranno risultare conformi

dal 25 maggio 2018, va in sostituzione della Direttiva

95/46 /CE sulla protezione dei dati e ha l’obiettivo di

rafforzare il mercato unico, armonizzare le leggi sulla

data privacy in tutta Europa, potenziare la privacy dei

cittadini dell’Unione Europea e riformulare il modo in

cui le aziende trattano i loro dati, ovunque lavorino nel

mondo. Nonostante questi importanti obiettivi, Gart-

ner prevede che entro la fine del 2018 oltre il 50% delle

aziende interessate dal GDPR non sarà in regola con i

suoi requisiti. Un’inadempienza che metterà a rischio la

privacy dei cittadini UE e comporterà pensanti sanzioni

a carico delle imprese.

Per essere quindi certi di soddisfare i requisiti del nuovo

GDPR, Willemsen raccomanda di agire immediatamente,

concentrandosi su cinque azioni ad alta priorità.

1. Stabilire il proprio ruolo

Qualsiasi organizzazione che elabora dati personali è fon-

damentalmente un controller di dati. Pertanto, il GDPR

non si applica solo alle imprese dell’Unione Europea, ma

anche a tutte quelle al di fuori della UE che trattano dati

personali per offrire beni e servizi all’interno dell’Unione

o che monitorano il comportamento dei soggetti inte-

ressati all’interno della UE. Tutte queste organizzazioni

devono nominare un rappresentante che agisca da inter-

faccia nei confronti dell’Autorità sulla protezione dei dati

(Data Protection Authority) e dei soggetti interessati.

2. Nominare un responsabile della protezione

dei dati

Molte realtà sono tenute a nominare un responsabile

della protezione dei dati (Data Protection Officer). Ciò è

particolarmente importante nel caso di enti pubblici o di

organizzazioni che eseguono operazioni dal monitoraggio

costante e sistematico o hanno attività di processo su

ampia scala, il che non significa necessariamente avere

a che fare con centinaia di migliaia di soggetti.