ds Elite Club 2016 small
Blog Nuovamacut

E' facile implementare un’infrastruttura conforme al GDPR?


gdpr

In poco meno di un anno entrerà in vigore il regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulations), ma molte aziende non sono ancora pronte a far fronte ai nuovi requisiti. Per affrontare i cambiamenti necessari, è sufficiente incaricare un responsabile per l’azienda?

La nuova legislazione GDPR dell’Unione Europea ha fatto molto discutere, in parte per i timori legati al cambiamento e in parte perché le aziende hanno troppo di cui occuparsi. Alcune aziende hanno sospeso la fase di preparazione, poiché credono che l’incombente Brexit offrirà una facile via d’uscita. Naturalmente, questo è lungi dal vero.

Solo il 54% delle aziende ritiene di poter affrontare in tempo i cambiamenti del GDPR, mentre un quarto degli intervistati hanno rivelato all’associazione DMA (Direct Marketing Association) di non avere ancora iniziato la pianificazione del nuovo regolamento. Ciò non è necessariamente colpa delle aziende: l’associazione DMA ritiene che l’ICO (Information Commissioner Office) non abbia offerto un supporto adeguato, causando confusione.

“Nonostante l’alto livello di consapevolezza e il tempo a disposizione per prepararsi, solo poco più della metà delle aziende ritiene di essere pronta” ha affermato Chris Combemale, CEO del gruppo DMA. “Gli annunci recenti e le linee guida dell’ICO hanno causato molte preoccupazioni, in merito a un’interpretazione troppo severa delle leggi e ingiusta nei confronti delle aziende che promuovono buone prassi, onestà e trasparenza. Le aziende, infatti, hanno bisogno di un sostegno bilanciato ed equo da parte dell’ICO e dal Gruppo di lavoro articolo 28 per la protezione dei dati. Con soli 12 mesi per prepararsi, le aziende hanno urgente bisogno di supporto per poter essere pronte in tempo.”

Una cosa è chiara: i nuovi regolamenti entreranno in vigore, che le aziende siano pronte o meno. Occorre pertanto prendere tutte le misure necessarie. È quindi sufficiente nominare un responsabile per la protezione dei dati e procedere normalmente con la propria attività?

La conformità è l’unica via

Le aziende non conformi alle nuove normative subiranno sanzioni fino a 20 milioni di euro (o 4% del ricavo globale). Il GDPR deve essere preso molto sul serio. Di recente, un’inchiesta della Veritas ha appurato che un’azienda su cinque teme la bancarotta a causa delle sanzioni severe. Indubbiamente, per tutte le aziende che gestiscono dati pubblici c’è molto da fare, ma l’impresa non è poi così ardua. Con alcuni interventi, molte aziende sono sulla buona strada per conseguire l’obiettivo. Alcune aziende hanno già nominato un responsabile per la protezione dei dati (DPO) che eseguirà un audit delle procedure aziendali e ne introdurrà di nuove ai fini del regolamento. Le aziende di piccole dimensioni potrebbero temere l’aggiunta di una nuova retribuzione salariale, tuttavia l’investimento è giustificato se confrontato con le multe salate dovute al mancato rispetto delle regole.

Infatti, GO DPO ritiene che almeno 7000 aziende nel Regno Unito dovranno nominare un DPO oppure esternalizzare questo ruolo entro maggio 2018, come richiesto dal GDPR.

Risultati immagini per privacy

Informative sulla privacy

Se il ruolo viene mantenuto all’interno dell’azienda, tra il personale esistente, bisognerà dedicare tempo e budget per assicurarsi che gli elementi accessibili al pubblico, tra cui l’aggiornamento delle informative sulla privacy, siano una priorità. La modifica delle informative sulla privacy potrebbe richiedere un giorno di lavoro, ma l’azienda sarà così protetta dalle sanzioni. Per lo stesso motivo, occorre fare il punto sui dati in possesso dell’azienda. Si potrebbe scoprire che i dati archiviati non sono autorizzati oppure che mancano informazioni fondamentali. Un rapido controllo può dare grandi benefici, a costi molto bassi. Il personale IT effettuerà i patch e l’aggiornamento dei sistemi più vulnerabili e datati, un compito che dovrebbe essere prassi comune. Per garantire che questo processo venga eseguito in maniera ottimale ed efficiente, occorre il sostegno necessario.

Cosa fare in caso di violazione dei dati?

Un altro compito non invidiabile, ma necessario, è quello di impostare strategie chiare in caso di una violazione dei dati.

Un’altra priorità consiste nell’attuazione di piani di comunicazione con dipendenti, clienti e l’ICO. Se la violazione di dati viene comunicata ai clienti in modo adeguato, i danni conseguenti possono essere mitigati. Questo è un fattore particolarmente critico per le informazioni di natura finanziaria. Bisognerebbe anche essere pronti in caso di richieste di cancellazione dei dati o di richieste di azione da parte del soggetto (SAR, Subject Action Request). Sempre più persone sono consapevoli del valore dei dati: vedremo quindi un forte aumento di utenti volti a verificarne la sicurezza. Sebbene molte aziende non siano ancora preparate, la stesura di un piano per attuare la conformità al GDPR, anche in vista della scadenza dal 18 maggio 2018, non dovrebbe richiedere troppo tempo. La nomina di un responsabile per la protezione dei dati nei prossimi 12-24 mesi costituisce un investimento vantaggioso da parte dell’azienda, se si vuole garantire il rispetto del nuovo regolamento all’interno dell’organizzazione. Per gestire i cambiamenti è possibile riallineare il personale, ma è molto più efficace designare un singolo responsabile che si occupi della conformità al nuovo regolamento GDPR.


Sei interessato a ricevere maggiori informazioni? Contattaci

 


Postato da Marcello Masina

IT Manager
Nuovamacut Automazione Spa