Conformità al GDPR
Cos’è la conformità al GDPR?
Il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR) è entrato in vigore nel maggio del 2018. I nuovi requisiti del GDPR hanno costituito un elemento di grande preoccupazione non solo per i funzionari incaricati della riservatezza dei dati, ma anche per tutti i professionisti che operano nel settore GRC. Il regolamento UE del 2018 ha di fatto sostituito la Direttiva sulla protezione dei dati del 1995 includendo una serie di emendamenti fondamentali che rispondono ai moderni ambienti basati sui dati.
La novità maggiormente degna di nota è l’introduzione di sanzioni legate alla mancata conformità al GDPR. Il mancato rispetto dei requisiti del GDPR può essere sanzionato con una multa fino al 4% dei ricavi annui globali di un’azienda o fino a 20 milioni di euro, a seconda di quale sia il valore maggiore tra i due. Circa il nuovo ambito territoriale del regolamento GDPR, la norma si applica ora a molte aziende che vendono beni o servizi nell’UE, indipendentemente dalla loro sede. Le aziende tenute a rispettare il GDPR devono integrare i concetti di “privacy-by-design” (tutela della riservatezza fin dalla progettazione) a livello aziendale, anche a valere sull’intero ciclo di vita dei prodotti attraverso la gestione dei fornitori, e su ogni aspetto legato alle risorse umane. Oltre a numerosi altri requisiti definiti dal nuovo GDPR, viene ora imposta la tempestiva comunicazione (entro 72 ore) delle violazioni dei dati personali.
COSA SERVE
Privacy by Design
I concetti di protezione dei dati e di “privacy di default” devono essere integrati in tutte le tecnologie e in tutti i processi di trattamento dei dati, sin dalle prime fasi.
Aggiornamenti di politiche e procedure
I nuovi requisiti del GDPR devono essere resi operativi in tutta l’azienda mediante l’aggiornamento e la divulgazione di politiche e procedure in modo completo e capillare.
Notifica tempestiva delle violazioni
Devono essere introdotti meccanismi di segnalazione efficaci e facilmente accessibili, tali che le violazioni dei dati, piccole o grandi che siano, possano essere segnalate immediatamente e demandate a chi di dovere.
Formazione sulla conformità al GDPR
Devono essere identificati i rischi per i dipendenti e devono essere organizzati corsi di formazione per informarli delle loro nuove responsabilità ai sensi del Regolamento generale sulla protezione dei dati.
Procedura da seguire per evitare le sanzioni del GDPR
Fase 1
Accertarsi che l’azienda disponga internamente della capacità di gestire politiche e procedure per allineare l’intero ambiente di lavoro ai più ampi requisiti del nuovo GDPR.
Fase 2
Mettere in atto più metodi di segnalazione e gestione degli incidenti, tra cui una hotline per la conformità, nonché impegnarsi a livello comunicativo per informare i dipendenti sul loro ruolo nell’identificazione e nella segnalazione delle violazioni dei dati.
Fase 3
Creare e attuare un programma di formazione pluriennale specifico per ogni gruppo di dipendenti, incentrato sugli argomenti del GDPR pertinenti per il ruolo di ciascun gruppo e per i dati gestiti.
Fase 4
Estendere gli standard di “privacy-by-design” dell’azienda all’intera catena di fornitura, ottenere la sottoscrizione delle politiche e identificare i canali di segnalazione a disposizione di tutti i fornitori e i collaboratori esterni, ricorrendo a una gestione delle terze parti efficace e alla due diligence.