Per evitare multe e danni all’immagine meglio cominciare subito a prepararsi
Sono passati ormai 2 anni da quando il Parlamento Europeo ha presentato il suo progetto di Regolamento generale per la protezione dei dati, e, da quando verrà approvato, altrettanti dovranno passarne per la sua applicazione. Trattandosi di un Regolamento e non di una Direttiva, sarà però direttamente applicabile e porterà quindi anche ad una armonizzazione nei diversi stati dell’EU.
I problemi che il Regolamento affronta sono già tutti qui davanti a noi: i dati personali sono la fonte di energia del futuro e rappresentano uno dei beni più preziosi da sviluppare e da proteggere, le minacce diventano ogni giorno più concrete e consistenti, la digital transformation è sempre più rapida e pone problemi sempre più complessi.
Analizziamo allora i 10 passi che il Regolamento, nella sua ultima versione del dicembre 2014, propone alle aziende per assicurare un elevato livello di sicurezza quando vengono processati dati personali. Alcuni di questi passi coinvolgono la definizione di policy strategiche, altri sono misure organizzative, altri ancora prevedono interventi di carattere tecnologico, come lo sviluppo o l’acquisto di prodotti IT per la data security (cfr. Tabella).
- Porre la protezione dei dati personali tra le priorità del Risk Management. Il Risk Management Officer deve essere conscio dei rischi rappresentati dal gestire i dati dei clienti, dei fornitori e degli stessi dipendenti. Il suo contributo nel misurarli è essenziale per graduare gli investimenti necessari a garantire la sicurezza dei dati.
- Coinvolgere la governance dell’azienda, a partire dal CEO, per avere il giusto livello di coinvolgimento necessario ad assicurare i cambiamenti di carattere organizzativo e tecnologico. Anche se il core business dell’azienda non è rappresentato dalla gestione dei dati personali, questi rappresentano un asset importante da proteggere: qualsiasi danno o violazione rappresenta, oltre a possibili perdite economiche, un danno di immagine.
- Nominare, all’interno del proprio organigramma, le figure di Data Processor, Data Controller e Data Protection Officer (quest’ultima obbligatoria solo per la PA o se espressamente prevista dalle leggi nazionali).
- Coinvolgere il dipartimento IT ed assicurarsi la collaborazione del CIO, in relazione a tutti gli interventi legati alla cybersecurity. Continua a leggere l'Articolo