L’impatto del nuovo regolamento EU sulla Data Protection, GDPR, sarà molto ampio, come hanno avuto modo di osservare le aziende che hanno già cominciato il percorso di adeguamento. Gli esperti raccomandano alle organizzazioni, soprattutto a quelle di maggiore dimensione o particolarmente coinvolte in trattamenti pesanti di grandi moli di dati personali, di tenere ben presenti le seguenti priorità nel proprio piano di GDPR compliance.
Step 1. Collaborazione con tutti gli stakeholder interni
La tematica andrà a coinvolgere molteplici ambiti dell’organizzazione, per cui è buona pratica formalizzare un team interdisciplinare che si occuperà dell’intero progetto. Questo team dovrà includere necessariamente l’area Legale, dell’Information Technology, della Sicurezza, della Privacy (ove questo ambito è già stato formalizzato), Acquisti e contratti, Risk management e Compliance, e in alcuni casi anche Business Manager che potrebbero essere coinvolti su questi temi, come Marketing, Progettazione, Ricerca e Sviluppo.
Il team sarà responsabile della definizione di una strategia complessiva per l’adeguamento, della scelta delle misure, procedure e soluzioni per ottenere la compliance, della gestione del progetto con i suoi tempi e le sue fasi di analisi e implementazione, della formazione dei dipendenti che subiranno l’impatto del passaggio al GDPR. Il team dovrà incontrarsi periodicamente per il piano di adeguamento, e una volta che sarà stato individuato, vi parteciperà anche il Data Protection Officer, nuova figura responsabile della protezione dei dati richiesta espressamente dalla norma.
Step 2. Conoscere i propri Dati Personali
Una delle prime attività da compiere, prima di poter definire qualsiasi progetto per la GDPR compliance, è un assessment completo volto a individuare con certezza QUALI SONO i dati personali oggetto di qualsiasi trattamento, anche la semplice archiviazione, presenti in azienda.
La definizione di “Dato personale” con il GDPR è diventata molto più ampia. Come disciplina l’Articolo 4 -1 del regolamento, con dato personale si intende qualsiasi informazione, dal nome, indirizzo, numero di telefono, a qualsiasi identificativo delle persone (anche l’indirizzo IP della navigazione online) o a informazioni come le caratteristiche sociali, culturali, genetiche, economiche, psichiche, ecc.
Oltre a sapere QUALI dati si hanno, bisogna sapere DOVE risiedono, QUALE è il trattamento che se ne fa, QUALI le attuali misure di protezione, FINO A QUANDO vanno mantenuti: in sostanza bisogna predisporre per questi dati un corretto programma di Information Governance end-to-end.
Step 3. Completa comprensione di tutti gli aspetti salienti del GDPR
Il GDPR introduce numerose novità rispetto alla precedente norma sulla Privacy (una sintesi è riportata in “Conosci tutto sul nuovo Regolamento EU sulla Privacy?“) per cui, da una conoscenza più approfondita sui suoi requisiti, unita alla comprensione della situazione della singola realtà, sorgerà automaticamente quali sono i gap da colmare e di conseguenza sarà possibile tracciare un piano per le attività di adeguamento, basato sugli interventi prioritari individuati.
Step 4. Avvio del progetto e piano di lavoro
Un piano di lavoro completo per la GDPR compliance richiede un approccio sistematico e una visione il più possibile ampia. Come riporta in proposito l’approfondimento di Gabriele Faggioli, Sergio Fumagalli e Marco Pozzoni (“Tutto quello che vorreste sapere ma non avete osato chiedere sulla privacy“), sarà necessario disporre di molteplici leve,
- Organizzazione e ruoli, Processi e regole da rivedere.
- Diffusione di una cultura della Privacy, Ingaggio di tutti i Manager, Formazione delle persone.
- Documentazione da realizzare (Registro dei trattamenti).
- Tecnologia e strumenti, sia da utilizzare in ottica di compliance (antivirus e controllo accessi, disaster recovery e business continuity, network security, mappatura, pseudonimizzazione e cifratura dati, prevenzione e rilevazione di data breach, Intelligence), sia di cui verificare la rispondenza ai dettami del GDPR (es. controllo accessi, IoT).
- Sistema di controllo, tool IT GRC per la gestione della compliance (Governance, Risk & Compliance).
Sempre in fase di avvio del progetto GDPR, sarebbe consigliabile valutare l’opportunità di utilizzare, con l’ausilio di consulenti esterni, best practices di mercato (come standard, framework, norme ISO, etc) oltre che valutare in anticipo quale sarà l’impatto economico dell’adozione del GDPR in azienda.
Step 5. Mantenimento della GDPR Compliance nel tempo
Per garantire una compliance continuativa nel tempo, sarà necessario prevedere attività periodiche di audit, ad esempio di Privacy Impact Assessment e di revisione del Registro dei trattamenti, per tener conto di tutte le modifiche che saranno occorse nel frattempo dal punto di vista dei trattamenti dell’azienda, oltre che di eventuali nuovi Provvedimenti del Garante di interesse specifico per l’azienda.
Anche per le procedure e gli strumenti di security sarà necessario prevedere un aggiornamento continuativo, sulla base dell’evoluzione dei rischi ICT e delle nuove vulnerabilità individuate internamente nell’organizzazione.
I prossimi Eventi di The Innovation Group dedicati all’adeguamento al Regolamento GDPR sono:
CYBER CRIME, DATA BREACHES E GDPR
Indicazioni pratiche su come far evolvere la gestione del cyber risk
19 Settembre 2017 – Webinar 11.30-12.30
GDPR COMPLIANCE. PRIVACY E SICUREZZA PER IL MOBILE
Impatto e indicazioni pratiche per l’adeguamento alle norme
26 Settembre 2017 – Webinar 11.30-12.30
GDPR JOURNEY. I PASSI DA FARE PER PORTARE PRIVACY EU E CYBERSECURITY IN AZIENDA
4 Ottobre 2017 – Workshop, Campus Data4 – Cornaredo (MI)
SEGNALI IN AGENDA!!!!