Come saprete il prossimo 25 maggio 2018 scadono i termini per allinearsi al GDPR (General Data Protection Regulation), regolamento europeo sulla protezione dei dati che era già stato approvato nel 2016 a cui tutte le PA o aziende che trattano i dati sensibili dovranno adeguarsi, una normativa che andrà a sovrapporsi a quella esistente di ogni singolo Paese. Con questo regolamento la Commissione Europea intende rinforzare in modo omogeneo per tutti i paesi membri dell’UE il sistema di protezione dei dati. Una normativa complessa composta da 99 articoli più una serie di linee guida, che costituiscono i paletti da rispettare per non incorrere in sostanziose sanzioni.
Se trattiamo dei dati personali, il loro utilizzo è giustificato solo se questi sono necessari per fini aziendali. Il GDPR, fra le varie regole, abilita l’esercizio del diritto all’oblio (right to be forgotten) da parte dell’utente verso il gestore dei propri dati. L’intento di allinearsi a simile regolamento consente di scongiurare il più possibile eventuali data breach concernenti l’utilizzo inappropriato, indebito, di questi dati da parte di terzi. Dobbiamo tutelare la riservatezza dei dati che custodiamo e dobbiamo tutelare i nostri utenti.
Per questo il regolamento europeo GDPR prevede che per ogni azienda ci debba essere una persone che riveste la funzione DPO, Data Protection Officer, ovvero un responsabile della protezione dei dati, colui che verifica che vi sia una corretta gestione dei dati personali, un garante sull’utilizzo di questi. Oltre al DPO, vi è una figura particolarmente importante, la figura del Chief Privacy Officer. DPO e CPO devono collaborare e a sua volta interagire costantemente con tutti i manager responsabili delle varie funzioni aziendali. Il Risk Manager, il Security Officer, lo stesso Compliance Officer, che sono tutte figure che comunque dovranno coordinare l’adeguamento al GDPR anche per definire adeguatamente il DPO stesso.
Una gestione efficace della data protection passa per alcuni passi sulla quale si fonda una compliance GDPR ben attuata, che sono: la disponibilità, i dati devono essere sempre garantiti; la sicurezza, i dati devono essere sempre messi in sicurezza dagli accessi non autorizzati; il registro dei dati stesso deve essere messo in sicurezza; deve essere garantita la portabilità e il trasferimento dei dati, che devono essere accessibili e trasportabili; dulcis in fundo, il mantenimento continuo della data governance.
Le condizioni fondamentali nel rispetto del GDPR riguardano in primis l’interessato che deve esprimere il proprio consenso sul trattamento; l’altra riguarda le garanzie adeguate che deve fornire il gestore in termini di processi, figure professionali, e strumenti, vedi le tecnologie di cifratura e pseudonimizzazione. Nell’affermazione del consenso e nella cancellazione, quindi incluso il diritto all’oblio, la tecnologia stessa deve garantire che tutte queste componenti vengano tutelate.
Quindi da ciò si deduce che la compliance al GDPR è fatta sia da componenti funzionali che da infrastrutture tecnologiche. Il processo di compliance alla GDPR è fatto di tecnologie, di processi e della nomina di ruoli, tutte componenti che si debbono mettere a sistema nel percorso di adeguamento. Persone + Strumenti + Processi = Efficienza.
