Il General Data Protection Regulation ("Regolamento generale per la protezione dei dati" in italiano, abbreviato più semplicemente in GDPR), introdotto nel 2016 ma pienamente applicabile dal 25 maggio 2018, è il nuovo regolamento sulla protezione di dati e privacy che va a rimpiazzare la vecchia direttiva comunitaria risalente al 1995 (Direttiva 95/46/EC). Il GDPR si applica a qualunque organizzazione o istituzione che abbia a che fare con i dati dei cittadini europei, anche se la sua sede è al di fuori del Vecchio Continente. Per questo si considera il GDPR come una "legge globale", che avrà effetti e ricadute anche su società e aziende americane, asiatiche o africane.

Tutti coloro che operano in Europa, qualunque sia il motivo, devono dunque prestare molta attenzione alle direttive presenti nel nuovo regolamento, onde evitare pesanti sanzioni economiche. Un monito valido anche – e soprattutto – per le piccole e medie imprese che, per vari motivi, potrebbero trovarsi più in difficoltà rispetto ad aziende di grandi dimensioni.

Le PMI, che in Italia rappresentano la stragrande maggioranza delle aziende attive, devono dunque redigere una tabella di marcia che permetta loro di non farsi trovare impreparate in vista del "traguardo" del 25 maggio. Una road map che parta dall'analisi delle novità GDPR e dalle azioni necessarie per mettersi in regola, per poi passare a un piano operativo che consente di adempiere a tutte le prescrizioni del nuovo regolamento per la protezione dei dati.

 

Il GDPR sarà valido in tutta Europa

GDPR, cosa cambia rispetto al passato

Alla base del GDPR troviamo, prima di tutto, un cambiamento nella filosofia della gestione dati degli utenti. Rispetto alla vecchia direttiva, caratterizzata da un approccio formalistico e basata su misure minime da adottare, il nuovo regolamento focalizza la propria attenzione sul ruolo e i doveri del responsabile del trattamento dei dati. Quest'ultimo, pur godendo di una maggior "libertà di movimento" rispetto al passato, dovrà comunque attenersi a direttive molto stringenti.

Il titolare del trattamento, in particolare, dovrà definire il modello di protezione dei dati che l'azienda dovrà adottare, tenendo conto del principio di accountability (responsabilizzazione) sia del responsabile del trattamento, sia dell'azienda stessa. Nel definire il modello si dovrà tenere conto dei nuovi diritti degli utenti (come, ad esempio, il diritto alla portabilità dei dati); individuare quei parametri che consentono di stabilire una protezione dati by design e by default (ossia, come previsto dall'articolo 25 del GDPR, il titolare del trattamento dovrebbe prevedere forme di protezione sin dalla progettazione di un nuovo prodotto e funzionalità, evitando così di dover correre ai ripari in caso di data breach); provvedere a una certificazione del trattamento e individuare, nella propria pianta organica, la figura del Data Protection Officer.

Le novità GDPR, inoltre, avranno un profondo impatto tanto sull'organizzazione interna, quanto sulle modalità operative dell'azienda. Come visto, l'adozione del regolamento generale per la protezione dei dati impone un nuovo metodo per la progettazione e realizzazione di nuovi prodotti (privacy by design e privacy by default) e nella selezione di aziende esterne e fornitori (che dovranno, a loro volta, garantire gli stessi standard per la protezione dei dati) e richiederà l'assunzione – o l'individuazione – di nuove figure (il già citato Data Protection Officer).

Adozione GDPR, come prepararsi

Per adeguarsi alle prescrizioni del GDPR prima del 25 maggio 2018 è consigliabile stabilire una road map che consenta di fare una valutazione della propria situazione di partenza e individuare così quali sono gli interventi più urgenti.

 

Cosa fare per adattarsi al GDPR

  • Identificare e comprendere gli obiettivi del GDPR. In via preliminare, è necessario analizzare nel dettaglio il General Data Protection Regulation e le prescrizioni che contiene, individuando quali legami sussistono con altre legislazioni settoriali e mappare i requisiti necessari per creare un modello di protezione dati che sia efficiente e rispondente alle richieste legislative
  • Individuare gli "attori". Sarà poi necessario individuare quale figure professionali, tanto all'interno della propria azienda quanto nei team delle società esterne che forniscono servizi e prodotti, debbano essere "istruiti" sulle azioni richieste dal nuovo GDPR. Si dovranno coinvolgere figure con un background conoscitivo e professionale eterogeneo, che sappiano "muoversi" in settori come risorse umane, sicurezza informatica, affari legali e sistemi informativi
  • Creare un modello. Dati e informazioni raccolte in queste fasi preliminari dovranno essere utilizzate per la creazione di un modello da utilizzare, sia ora sia in futuro, per adeguare progetti e prodotti alle direttive del GDPR. Potrebbe tornare utile, inoltre, ideare dei questionari che i vari dipartimenti dovranno compilare per verificare la piena adesione al modello e alle prescrizioni del GDPR
  • Creare il registro dei trattamenti. Il registro dei trattamenti è una delle novità di maggior rilievo introdotte nel General Data Protection Regulation e sarà necessario per dimostrare alle autorità di vigilanza e controllo che si è fatto quanto dovuto per garantire la difesa e la protezione dei dati degli utenti
  • Confrontare il vecchio modello con il nuovo. Una volta completati i passaggi preliminari e individuato un possibile modello operativo, si potrà passare alla fase operativa, confrontando i risultati dell'analisi appena svolta con il vecchio modello di protezione dati e individuare così, i punti sui quali è necessario intervenire con maggiore urgenza e quali, invece, richiedono minor lavoro

 

GDPR, cosa fare per mettersi in regola

Ovviamente, il GDPR non impone che ogni singola società e azienda svolga tutto questo lavoro in house. È possibile esternalizzare sia la fase di studio preliminare sia la fase di creazione dei modelli e dei registri richiesti dal regolamento europeo, così da poter rispondere alle direttive del GDPR senza dover gravare sulle risorse interne. Una modalità operativa che potrebbe portare non pochi vantaggi soprattutto alle piccole e medie imprese, molto spesso prive delle professionalità necessarie a redigere piani e questionari richiesti dal regolamento europeo.

Una possibile soluzione, ad esempio, potrebbe essere quella di scegliere prodotti e soluzioni software che garantiscano "in partenza" la piena adesione ai requisiti del GDPR. Nella scelta di una piattaforma di cloud storage, ad esempio, si potrà optare per un fornitore di servizi che assicuri prodotti "GDPR ready", con soluzioni ad hoc per ogni impresa.

copyright CULTUR-E