Trattamento dati obbligatorio, aziende al lavoro per il budget

Trattamento dati obbligatorio, aziende al lavoro per il budget

L’ultima notizia di qualche giorno fa e riguarda Uber, la societ statunitense che gestisce l’applicazione per prenotare automobili con autista: circa un anno fa avrebbe subito l’hackeraggio dei dati di 57 milioni di utenti nel mondo, di cui 600mila conducenti. Ma ormai quasi quotidianamente arriva l’eco di accessi a siti e applicazioni di aziende e, cosa pi preoccupante, istituzioni pubbliche con conseguente “furto” dei dati personali degli utenti, che stanno diventando sempre pi la vera ricchezza di questa era digitale. Questo sufficiente per far comprendere come il tema del trattamento dei dati personali sia pressante e come l’applicazione del regolamento europeo 2016/679 a partire dal 25 maggio 2018 (noto anche come Gdpr, acronimo di General data protection regulation) diventi centrale per le imprese.

Nonostante il termine per mettersi al pari sembri lontano, la materia complessa e i cambiamenti che apporta il regolamento consistenti, per cui buona cosa cominciare prima possibile.

Il censimento dei trattamenti e delle rispettive componenti essenziali (mappatura), insieme alla ricognizione degli adempimenti e delle misure tecnico-organizzative adottate rappresentano i primi passi che consentono all’azienda, con il supporto di un esperto della materia, di valutare lo stato di conformit attuale (stato dell’arte) insieme all’accertamento del delta differenziale rispetto a quanto prescritto dal Gdpr (valutazione delle carenze). La lista delle carenze, con l’attribuzione a ciascuna di un indice di rilevanza, permette di individuare le azioni di rimedio e di pianificarne l’implementazione, secondo un ordine di priorit ed una tempistica predefinita.

Questa modalit rende possibile determinare con sufficiente accuratezza alcuni elementi fondamentali per la gestione del relativo progetto aziendale: cio, quali e quante risorse interne occorrono, qual il budget stimato, quali sono le interdipendenze tra un’attivit e l’altra, quali gli artefatti o i risultati attesi nei diversi stati di avanzamento lavori, come facilitare l’assimilazione dei risultati da parte del tessuto aziendale interno, evitando contraccolpi o negligenze.

La rilevazione delle carenze inevitabilmente riveler qualche mancanza rispetto alla normativa vigente ed altre riguardo alle future prescrizioni del Gdpr, ponendosi l’interrogativo di come comportarsi nei riguardi di quelle mancanze che cesseranno di essere tali con il Gdpr (ad esempio, l’obbligo di notificazione preventiva al Garante); al riguardo occorrer tener presente che in proposito vige il principio per cui l’atto soggetto alla norma vigente al momento in cui stato compiuto: cio, se la notificazione dovuta ora ma non lo sar pi dopo maggio 2018, la mancanza non sar sanata per il periodo in cui la stessa notificazione era obbligatoria. Completeranno i rimedi quelli dipendenti da nuove prescrizioni del Gdpr, distinguendo le misure tecniche (come la maggior parte delle misure di sicurezza) dalle organizzative (ad esempio, il modello organizzativo dei ruoli data protection) e tra quelle di natura documentale (come informative, modelli contrattuali, registro dei trattamenti e dei data breach) o di processo (approccio basato sul rischio, impostazione in fase di progettazione, gestione delle violazioni, valutazioni e Dpia).

© Riproduzione riservata

Fonte: ilSole24ore



WP Facebook Auto Publish Powered By : XYZScripts.com