Tra poco più di 10 mesi diventerà totalmente operativa la General Data Protection Regulation (GDPR), il nuovo regolamento europeo sulla privacy e protezione dei dati personali.

Non sai di cosa stiamo parlando? Alcuni giorni fa, un altro post del blog Netdream spiegava le linee guida del GDPR, con alcune regole di base.

Quali sono le aree operative dell’organizzazione maggiormente influenzate dal GDPR?

1. Relazioni con i clienti – Customer Relationship Management (CRM)
2. Direct marketing, canali di vendita diretta
3. Servizi al cliente, supporto tecnico
4. Risorse umane, rapporti con i dipendenti
5. Information tecnology, infrastrutture a supporto dei dati

Cosa si deve fare per essere “compliant”, in regola con i requisiti del GDPR?

Ci sono molte attività da realizzare a livello dell’organizzazione, che principalmente vengono identificate in 8 aree di intervento

1. Identificare una figura responsabile nell’organizzazione, il Data Protection Officer (DPO): un obbligo per tutte le attività che hanno tra i loro business il “monitoraggio regolare e sistematico su larga scala di dati” o l’elaborazione su larga scala di “speciali categorie di dati personali”
2. Garantire la salvaguardia dei dati acquisiti: attuare regole e controlli per assicurare che i dati siano mantenuti al sicuro. Il GDPR fornisce anche alcune misure specifiche da adottare su questo tema: – gestire la confidenzialità ed accuratezza delle informazioni custodite – rendere disponibili rapidamente i dati quando vengono richiesti dall’interessato – anonimizzazione/crittografazione dei dati – rapidità ed efficacia dei ripristini in caso di incidente – testing e assessment dell’efficacia delle misure adottate
3. Assicurarsi che la catena di fornitori sia adeguata: diventa un compito dell’organizzazione assicurarsi che ogni fornitore processerà i dati in modo corretto per preservarne la confidenzialità.
4. Acquisire consenso esplicito al trattamento, in un modo più preciso del passato: bisogna essere in grado di dimostrare che il consenso è stato dato e deve essere facile per le persone ritirare il consenso pregresso.
5. Garantire il diritto all’oblio: le persone hanno diritto di ottenere la cancellazione certa di tutti i dati che li riguardano
6. Offrire trasparenza e semplicità: la gestione dei dati dovrà essere trasparente e di facile comprensione, con indicazioni chiare e semplici sui dati acquisiti, le loro modalità di gestione e conservazione e su come ritirare il proprio consenso e ottenere la cancellazione dei dati.
7. Prepararsi a pubblicare le violazioni dei dati: ci saranno 72 ore di tempo per informare in caso di attacchi, sottrazioni e diffusioni di dati e sarà quindi necessario adottare sistemi di reporting di incidenti di sicurezza e procedure di risposta rapida.
8. Prepararsi a gestire un maggior numero di richieste degli utenti, poichè le persone saranno maggiormente a conoscenza dei loro diritti e si può ipotizzare che aumenteranno quindi le richieste di informazioni sulla conservazione (diminuendo nel contempo il tempo a disposizione per rispondere, in virtù dei limiti più stringenti imposti dal GDPR)

Alcuni problemi “classici” per i trattamenti informatici dei dati personali e come intervenire

1. Raffinare (o creare da zero…) la cultura sulla sicurezza delle informazioni all’interno dell’organizzazione
2. Verificare che tutti quelli che fanno business con voi (dal supporto IT ai servizi in cloud, dai fornitori ai partner commerciali, dalle agenzie di marketing ai call center del supporto tecnico) condividano questa stessa cultura, poichè il GDPR mette la responsabilità della verifica in capo all’organizzazione
3. Migliorare (o, anche in questo caso, implementare da zero…) processi e sistemi di audit delle informazioni e della sicurezza sui dati
4. Prestare particolare attenzione a dove vengono conservati i vostri dati, in particolare quando all’esterno dell’azienda (es: backup in cloud), assicurandosi che il fornitore di servizi abbia idonee infrastrutture, cultura e preparazione tecnica
5. Quando si ottiene il consenso bisogna poter provare in modo chiaro che è stato ottenuto in modo chiaro, informato e non ambiguo: occorre pertanto implementare sistemi che informino correttamente, acquisiscano i consensi e tengano traccia delle informazioni personali acquisite, di quando, come e da chi vengono lette o condivise.
6. L’interessato ha diritto ad ottenere una copia completa della informazioni in nostro possesso (“portabilità dei dati”): deve esistere quindi un sistema in grado di raccoglierli tutti, ovunque siano conservati e “impacchettarli” per l’utente in tempi ragionevolmente brevi
7. Il diritto all’oblio implica processi di distruzione delle informazioni acquisite rapidi, completi ed osservabili: occorre quindi implementare processi che consentano di tracciare queste situazioni in modo chiaro e completo.

Serve aiuto per implementare GDPR nelle piccole aziende? Netdream può aiutarvi, con soluzioni su misura, alla portata della vostra realtà!