Le aziende possono già oggi mettersi in una condizione di vantaggio in vista delle prossime incalzanti scadenze

Tra i temi più attuali in ambito business, di certo il GDPR è uno dei più caldi. Non è difficile capire perché, visto che questa nuova normativa va a toccare ogni organizzazione e ogni mercato all’interno dell’Unione Europea. E se la deadline indicata – maggio 2018 – appare a prima vista lontana, sono numerosi gli aspetti che le aziende devono prendere in considerazione per garantirsi di affrontare la normativa con successo.

Innanzitutto, dobbiamo considerare la definizione del GDPR un passo avanti importante in tema di standardizzazione delle politiche europee, perché di fatto questa nuova normativa va a sostituire quelle dei singoli paesi, differenziate tra loro, andando di fatto a unificare la protezione dei dati a livello continentale. Il tema dichiarato di fondo è quello di “ridare ai cittadini il controllo dei loro dati personali e di semplificare lo scenario normativo per le organizzazioni internazionali, unificando le normative all’interno della UE.”

Un’armonizzazione degli standard, di fatto, porta vantaggi a chiunque si occupi di controllo o elaborazione dei dati, soprattutto nel lungo termine. In questo momento storico, siamo tutti “soggetti di dati”, e viviamo in un mondo in cui le nostre vite saranno via via sempre più influenzate dai dati. Attualmente, in diversi paesi non esiste l’obbligo di denunciare eventuali data breach, e quindi potrebbe succede di non sapere nemmeno che propri dati siano stati compromessi o sottratti, fino a quando questi dati non vengono usati per un’azione criminosa – e potrebbe essere troppo tardi. Tra le varie cose, il GDPR instituisce l’obbligo per chi detiene dati personali di notificare ogni possibile problema ai diretti interessati, entro le 72 ore, pensa pesanti sanzioni.

Le ripercussioni per le organizzazioni interessate sono evidenti:

  • Non è solo questione di sanzioni economiche – reputazione e cattiva pubblicità sono almeno altrettanto critiche;
  • La normativa è molto ricca e dettagliata – i processi seguiti fino ad oggi potrebbero diventare di colpo illegali;
  • Con ogni probabilità sarà necessario rivedere i contratti con clienti e fornitori;
  • Per le realtà maggiori, la protezione dei dati entrerà a far pare dei processi di audit – con la necessità di nuove competenze specifiche

Se l’entrata in vigore di una normativa del genere presuppone una generale revisione dei processi in azienda, per potersi garantire una compliance efficace e completa, ci sono alcuni passaggi squisitamente pratici che le organizzazioni possono affrontare già oggi per mettersi in una condizione di vantaggio in vista delle prossime incalzanti scadenze:

  • Avviare un progetto di risk assessment teso all’identificazione di tutti i dati personali detenuti dall’azienda – dove si trovano, come vengono processati, chi ne ha il controllo…
  • Definire un codice di condotta interno e porre in atto policy interne che considerino la privacy un elemento irrinunciabile, by design e by default.
  • Mantenere registri dettagliati dei processi di elaborazione con tutti i report relativi – è necessario poter dimostrare la compliance.
  • Diffondere conoscenza del GDPR all’interno dell’organizzazione e formare sul tema chiunque abbia a che fare con l’elaborazione dei dati.
  • Rivedere e aggiornare i contratti con clienti e fornitori, comprese le informazioni relative alla privacy.
  • Riconsiderare le tecnologie attualmente implementate in tema di conservazione, disponibilità, accesso e sicurezza dei dati.
  • Definire responsabilità e budget relativi

    A cura di CommVault