Digital transformation
May 25, 2018
BY ÁLVARO ORTS FERRER

GDPR: dalla conformità all’attuazione

Home > Digital transformation > GDPR: dalla conformità all’attuazione
Nelle ultime settimane si sono sentiti molti commenti riguardo la nuova norma GDPR, la maggior parte dei quali allarmisti. In pochi si stanno preoccupando di tenere a bada il panico che questa nuova legge sta provocando. Ecco quello che c’è da sapere.

È vero. Il GDPR introduce norme più rigide da rispettare e questo per le aziende e gli enti vorrà dire dover seguire e rispettare regole più severe a seconda del tipo di dati che gestiscono, della loro quantità, il seguimento, il monitoraggio e così via. Tuttavia per alcune aziende l’introduzione di questa normativa renderà più semplice il rispetto della legge.
 

La legge sulla protezione dei dati personali ancora in vigore (LOPD 15/99) stabilisce alcuni gradi di protezione in funzione del tipo di dati gestiti da un'azienda.
 

Ad esempio, le aziende che gestiscono cartelle cliniche sono costrette ad attuare misure di sicurezza dei dati definite high level (e dunque molto impegnative da rispettare). Cosa vuol dire? Che un medico che ha uno studio privato in cui visita due, tre o cinque pazienti al giorno e dove non svolge esami, secondo la “vecchia” norma deve implementare le stesse misure di protezione dei dati di un ospedale o di una clinica. Eppure non c’è paragone tra le due attività.
 

Questo aspetto cambierà con il nuovo regolamento:
 

Il GDPR dice invece che dobbiamo garantire i diritti di chi ci fornisce i propri dati e l'integrità e la sicurezza dei dati stessi, ma non dà nessuna misura di sicurezza concreta o specifica per le aziende.
 

Cosa significa? Il GDPR ci consentirà di adeguare le misure da applicare in base alle caratteristiche della nostra azienda, al tipo di dati trattati, alla varietà di risorse tecniche disponibili per soddisfare la conformità e così via.

Detto questo, dovremo sempre stabilire processi o protocolli che ci consentano di implementare queste misure e di dimostrare che le stiamo mettendo in pratica.
 

In sostanza ci troviamo di fronte a "un processo continuo di revisione della conformità". Questo processo ci consentirà, a fronte di qualsiasi incidente, ispezione o reclamo, di dimostrare di aver implementato le misure adeguate relative ai dati a disposizione, sia a livello organizzativo e tecnico, sia per esercitare i nostri diritti.
 


Fonte: Unsplash

Per quanto riguarda i requisiti specifici, ecco ciò che il GDPR ci dice sulla sicurezza dei dati:

 

Ai sensi dell'articolo 32 del GDPR UE "Sicurezza del trattamento": "[...] Il responsabile del trattamento e l'incaricato del trattamento applicano requisiti tecnici e organizzativi adeguati per garantire un livello di sicurezza adeguato al rischio, tra le altre, se del caso”:

 

a) la pseudonimizzazione e la cifratura dei dati personali;
 

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
 

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
 

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
 

Dobbiamo quindi comportarci come la moglie di Cesare, essere al di sopra di ogni sospetto, non solo rispettando la legislazione, ma anche potendolo dimostrare.
 

In pratica possiamo trovarci di fronte ad aziende che hanno già adottato misure di sicurezza adeguate in cima ai loro processi per la gestione delle informazioni personali. Queste misure possono essere valide, coerenti e in accordo con il GDPR e quindi l'unica cosa da fare è rivedere la loro efficacia e usare il GDPR come processo di verifica, stima e valutazione periodica per comprovare che siano sempre conformi alle normative.
 

Ad esempio, molte aziende hanno già un sistema di elaborazione che disconnette i dati di un cliente e li sostituisce con dei codici in modo tale da usare solo questi e non i dati personali da cui essi provengono.
 

Nonostante ciò le imprese che non hanno precedentemente adottato misure di sicurezza dovranno implementare una serie di attività aggiuntive che consentiranno loro di raggiungere lo stesso punto di conformità.
 

Álvaro Orts Ferrer

Avvocato abilitato alla Valencia Bar Association (ICAV) e consulente legale per GDPR/LOPD/LSSI, è anche il fondatore di Orts Consultores, una società di consulenza legale che offre servizi legali personalizzati, sia per privati sia per società.

views
230
< Previous post All posts Next post >
La tua casella email
merita contenuti interessanti!

Iscriviti alla nostra newsletter per rimanere aggiornato su tutti gli ultimi trend del mondo digital.

Toc Toc. È ora di aggiornarsi.
La tua casella email
merita contenuti interessanti!

Iscriviti alla nostra newsletter per rimanere aggiornato su tutti gli ultimi trend del mondo digital.

No grazie. La mia casella email va bene così.
Articoli correlati
Digital transformation

Apr 13, 2018

By Laura Sánchez

Intervista a Paloma Real, Managing Director di Mastercard Spagna

Digital transformation

Apr 13, 2018

By Sofia Marelli

Le migliori strategie di web marketing per il settore moda

View all
Back to top