Previous Page  3 / 100 Next Page
Information
Show Menu
Previous Page 3 / 100 Next Page
Page Background

DITORIALE

1

Da qualche mese si sono accesi i riflettori sul nuovo regolamento europeo che si focalizza sulla

protezione dati e l’acronimo GDPR (dall’inglese General Data Protection Regulation) inizia a

essere utilizzato non solo nella comunicazione dei vendor più interessati al tema. Visto che a oggi

manca ormai meno di un anno all’entrata in vigore di questa nuova importante pietra miliare che

indirizzerà le aziende in modo molto vigoroso verso un nuovo modello di trattamento dei dati

personali, e quindi di relazione con i clienti, – si ricorda infatti che il GDPR sarà eettivo dal 25

maggio 2018 – cogliamo l’occasione di questo editoriale per rilanciare l’allarme dato da Gartner

sulla rivista Executive.IT (numero di maggio-giugno 2017) che viene realizzata in partnership con

Soiel International.

La società di ricerca più importante del mondo ICT e digitale ha infatti recentemente pubblicato

uno studio secondo il quale a fine del 2018, ovvero dopo sei mesi dall’entrata in vigore del nuovo

regolamento, meno del 50% delle aziende interessate, che non sono solo quelle europee o che

hanno una sede in uno degli Stati della UE, saranno compliant al 100% con il GDPR.

Vista la portata dell’impatto sul business che il nuovo regolamento avrà sulle imprese, diamo

anche noi rilevanza ai cinque passi prioritari che la stessa Gartner indica come urgenti

rivolgendosi soprattutto a quelle aziende che finora hanno trascurato, dimenticato, oppure non

sanno ancora nulla, del GDPR.

Assumere la consapevolezza del proprio ruolo.

Ogni organizzazione che decide, a qualsiasi

titolo e per qualsiasi motivo lecito, di trattare dei dati di tipo personale di cittadini UE assume

anche il ruolo di controllore e custode di questi dati. Deve quindi identificare un rappresentante

che agisca come punto di contatto per le Data Protection Authority, e per qualsiasi persona

interessata a chiedere spiegazioni sul trattamento dei propri dati.

Nominare un Data Protection O cer.

Il regolamento obbliga molte realtà a nominare un Data

Protection O–cer (Dpo). Questo è mandatario per le organizzazioni pubbliche, per quelle che

svolgono elaborazioni frequenti e regolari, o svolgono un’attività di tracciamento/monitoraggio

sistematica, o in ogni caso compiono attività di elaborazione su set di dati di larga scala. Il

termine ‘larga scala’ è da intendersi in senso qualitativo, e non banalmente quantitativo.

Dimostrare responsabilità e padronanza dei processi aziendali.

Fino a oggi solo una piccola

minoranza di organizzazioni ha identificato bene tutti i processi aziendali interni che gestiscono

dati personali. In prospettiva, prima dell’avvio di ogni nuovo processo bisognerà arontare

il tema della rilevanza e della qualità dei dati che questo andrà a utilizzare; e questo per non

rischiare di perdere la compliance con il GDPR. Le organizzazioni a questo fine dovranno

dimostrarsi completamente trasparenti in relazione alle decisioni prese sul trattamento dei dati

personali.

Flussi di dati oltre i confini nazionali.

Il trasferimento di dati in uno dei 28 Paesi UE (UK ancora

inclusa, poiché finora non si sa come le trattative sulla Brexit aronteranno il tema GDPR)

continuerà a essere consentito, comprese Norvegia, Liechtenstein e Islanda. È inoltre possibile

trasferire i dati anche in altri 11 Paesi – Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israele,

Isola di Man, Jersey, Nuova Zelanda, Svizzera e Uruguay – le cui normative sulla protezione dei

dati sono ritenute ‘adeguate dalla Commissione Europea. Per tutti gli altri Paesi al di fuori di

quelli indicati, devono essere utilizzate delle appropriate ‘salvaguardie’. Molta attenzione dovrà

essere esercitata dalle aziende europee nel controllare che i propri fornitori esterni alla UE

abbiano processi e meccanismi di controllo adeguati alla protezione prevista dal GDPR.

Prepararsi a gestire i maggiori diritti dei soggetti ‘padroni’ dei dati.

La nuova normativa

estende i diritti dei soggetti ai quali i dati personali fanno riferimento, ovvero ognuno di noi.

Questi includono: il diritto a essere dimenticati; il diritto alla portabilità dei propri dati e il diritto a

essere informati nel caso un’organizzazione che tratta dati personali di soggetti specifici subisce,

per esempio, una violazione dei suoi sistemi di protezione dati.

Insomma, per chi non si è ancora mosso, non c’è più tempo da perdere.

Ruggero Vota

ruggero.vota@soiel.it

Ma siamo pronti per il GDPR?

giugno 2017

1 2 3 4 5 6 7 8 9 10 11 12 100  FlippingBook