Come dimostrare la conformità al GDPR?

È questa la domanda che molte aziende si pongono, in quanto, all’interno del Regolamento UE 2016/679, meglio noto come GDPRGeneral Data Protection Regulation, non c’è un adempimento unico da soddisfare. Il Regolamento infatti indica le linee guida per una nuova impostazione del trattamento e gestione dei dati e in questo, l’utilizzo di un software GDPR può garantire una notevole semplificazione delle procedure.

Ma nello specifico, che cos’è il GDPR e cosa cambia da maggio 2018?

Il Regolamento Generale sulla Protezione dei Dati Personali GDPR, a differenza della direttiva esistente sulla protezione dei dati, la 95/46/CE, recepita nelle singole legislazioni nazionali, è una disposizione che ha l’obiettivo di armonizzare la legislazione a tutela dei cittadini UE in termini di privacy e trattamento del dato e rafforzare così la tutela dei diritti dei cittadini in questo ambito.

La mancata conformità agli obblighi previsti dal nuovo Regolamento Europeo in materia di dati personali prevede sanzioni fino al 4% del fatturato aziendale.

Il GDPR nasce con l’obiettivo di rendere più sicura la circolazione dei dati, tutelando i diritti degli interessati nelle attività di trattamento dei dati personali. Il nuovo Regolamento richiede quindi una maggiore consapevolezza del valore del dato, dall’acquisizione fino alla cancellazione, quindi sia per chi lo gestisce che per chi possiede il dato, ma anche per le persone a cui il dato fa riferimento.

Il GDPR pone l’accento sul principio dell’accountability di titolari e responsabili del trattamento dei dati personali. I titolari del trattamento del dato devono definire i processi da adottare e devono dimostrare di aver implementato le procedure di governance per essere conformi alla norma.

Il GDPR obbliga qualunque organizzazione (pubblica, privata, profit, no – profit, etc.) che raccoglie, conserva o tratta dati personali di residenti dell’Unione Europea, indipendentemente da dove sia localizzata l’organizzazione stessa, a tutelare i dati personali ed evitare forme di trattamento illegittime.

Ma come può essere garantita la tutela del dato? Per tutelare il dato è necessaria una gestione organizzata e definita dell’intero sistema informativo aziendale, attraverso un sistema di data governance.

Cosa significa avere un sistema di data governance?

Per data governance o sistema di governo del dato si intende lo studio e l’identificazione dei processi di gestione dei dati per tutto il loro ciclo di vita: raccolta, trattamento, trasferimento, messa in sicurezza e distruzione, per consentire un trattamento costante e corretto di tutti i dati rilevanti per un’azienda.

La Data Governance si fonda su un passaggio fondamentale per la compliance al GDPR: l’analisi del rischio. Si tratta di un’analisi continua di tutti i trattamenti che aiuti a comprendere rischi e impatti, dimostrare l’adeguatezza delle misure adottate in azienda e prendere gli opportuni rimedi nel momento in cui il livello di rischio aumenti. Dal momento che il rischio non è mai eliminabile definitivamente, la governance del dato richiederà sempre un piano continuo volto a prevenire, individuare i rischi e ripristinare i dati.

In sintesi, possiamo dire che la tutela del dato deve essere parte integrante di tutti i sistemi fin dall’inizio e non qualcosa applicata a posteriori, nel momento in cui il dato è stato violato; deve essere inoltre un processo continuativo.

A tale proposito, occorre spendere due righe sul Data Breach. Il GDPR introduce infatti un nuovo obbligo di notifica alle autorità competenti nel momento in cui avviene una violazione dei dati personali. Per violazione del dato si intende la distruzione, perdita, modifica, divulgazione non autorizzata di un dato personale (es. la perdita di una USB contenente dati personali di terze parti). La notifica alle autorità competenti deve essere effettuata entro 72 ore dalla rilevazione della violazione del dato.

Quali sono i diritti delle persone in relazione alla protezione dei dati personali?

  • Consenso

La persona interessata deve dare il consenso sulle modalità di utilizzo dei propri dati personali

  • Diritto all’oblio

Diritto di richiedere la cancellazione dei propri dati

  • Come vengono utilizzati i dati

È possibile richiedere conferma sulle modalità di utilizzo e di trattamento del dato

  • Portabilità dei dati

Il diritto di trasferire i dati personali tra diversi servizi

Una volta compreso quali sono i diritti delle persone in relazione alla protezione dei dati personali, come procedere affinché questi vengano garantiti?

Cosa comporta l’adeguamento al GDPR? Quali sono i passaggi necessari per rispondere alle richieste del nuovo Regolamento?

  • L’Assessment è la valutazione d’impatto sulla gestione dei dati, il primo step nel percorso di adeguamento al GDPR, grazie al quale ottenere un’analisi dei rischi e dell’impatto del Regolamento sui sistemi informativi.

In questa fase, Consulenti Legali ed esperti IT collaborano insieme per analizzare infrastruttura IT e trattamenti, fornendo così linee guida di adeguamento.

Si tratta di una sorta di censimento e mappatura di tutti i dati trattati in azienda, individuando inefficienze e vulnerabilità su cui agire per essere in compliance con il Regolamento Europeo sulla Privacy e i rischi e gli impatti nel caso in cui qualche evento negativo si verificasse.

  • A questo punto, una volta individuate le aree su cui lavorare per garantire la massima tutela dei dati, va avviato un processo di adeguamento. Questo processo può passare attraverso una consulenza che deve dare supporto per capire come strutturarsi per minimizzare i rischi emersi nell’Assessment, sia per la componente del Modello di Governance dei sistemi informativi (processi e procedure), che per la componente tecnologica.

Dopo questi due passaggi, si può dare avvio al percorso verso la compliance.

GDPR software: perché affidarsi ad un tool per gestire la compliance?

Una volta compreso cosa fare, in molte aziende resta il dubbio su come farlo, dubbio che in parte viene risolto dalla consulenza, ma rimane comunque da affrontare la gestione del day by day. Emerge quindi la necessità di dotarsi di uno strumento di supporto.

Affidarsi ad un software per gestire la compliance con il GDPR è indispensabile per garantire maggiore tutela, segnalare le violazioni in modo tempestivo e rendere trasparenti le attività di trattamento. Oltre a questo è un’opportunità per le aziende per rivedere ed ottimizzare tutti i processi legati al trattamento dei dati.

Uno strumento che aiuta ad automatizzare i processi, permette di semplificare il percorso per raggiungere la compliance.

Xperience GDPR Edition: il software per la gestione degli adempimenti al GDPR

Xperience GDPR Edition è un software sviluppato per gestire in concreto processi e documenti in ottemperanza al nuovo Regolamento Generale sulla Protezione dei Dati.

Xperience GDPR Edition è il software GDPR grazie al quale puoi:

  • Avere una mappatura dell’analisi dei trattamenti personali che l’azienda effettua, tutto in modo semplificato e automatizzato
  • Effettuare l’analisi dei rischi, per valutare il rischio connesso a ciascun tipo di dato e trattamento
  • Gestire i documenti come informative, richieste di consenso, nomine e revoche dei soggetti responsabili e dei soggetti autorizzati, dati di contatto, registri delle attività di trattamento e valutazione dei rischi
  • Definire Ruoli, Incarichi e Revoche per tracciare la definizione dei processi di nomina dei Responsabili di Trattamento, Responsabile della Protezione dei Dati (o Data Protection Officer – DPO)
  • Gestire il Data Breach o violazione dei dati personali, cioè la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o Pubblica Amministrazione. Il GDPR prevede l’obbligo di comunicare alle autorità di controllo la violazione dei dati non oltre 72 ore dalla sua rilevazione

Xperience GDPR Edition è il software italiano per gestire gli adempimenti al regolamento europeo sulla protezione dei dati personali.

Perché la tua azienda dovrebbe dotarsi di Xperience GDPR Edition?

1 – CONSENTE DI TRACCIARE LE OPERAZIONI

La tracciabilità è indispensabile per:

  • Tenere sotto controllo tutto l’iter del processo approvativo e di valutazione del rischio
  • Segnalare le violazioni in modo tempestivo
  • Rendere trasparenti le attività di trattamento

2 – FORNISCE UN PUNTO DI ACCESSO UNICO

Grazie al Customer Portal è possibile fornire un unico punto di accesso agli interessati per la consultazione dei propri dati e le richieste relative a cancellazioni, modifiche, portabilità, ecc..

3 – DIMOSTRARE L’ACCOUNTABILITY

Il Regolamento, agli articoli 23-25, chiede “l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento”. Questo vuol dire dover dimostrare di aver analizzato le richieste del regolamento e aver implementato le corrette procedure per essere in compliance con la norma.

Xperience GDPR Edition è il tool per dimostrare l’accountability e tenere traccia delle attività.

4- MIGLIORA L’ORGANIZZAZIONE

Il GDPR è un obbligo per le aziende che dovranno adeguarsi alla nuova normativa, ma anche un’opportunità in termini di crescita e di business, perchè consente di strutturare un sistema di corretta gestione dei dati personali. Si tratta quindi di un’occasione per migliorare il rapporto sia con i clienti che con gli utenti comunicando con chiarezza le finalità dei trattamenti.

Inoltre, la conformità al GDPR porterà le aziende a mettere in sicurezza tutte quelle informazioni preziose ed essenziali per il business stesso.

Occorre infine considerare che, in particolare per alcuni settori ed ambiti di attività, un percorso strutturato verso la compliance al Regolamento, rappresenterà un elemento distintivo e di vantaggio competitivo.