{"id":577,"date":"2015-09-06T19:19:25","date_gmt":"2015-09-06T17:19:25","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=577"},"modified":"2015-10-21T14:00:28","modified_gmt":"2015-10-21T12:00:28","slug":"gdpr-ten-steps-compliance","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2015\/09\/06\/gdpr-ten-steps-compliance\/","title":{"rendered":"Dieci passi per prepararsi all&#8217;European GDPR"},"content":{"rendered":"<p>Nel Giugno 2015 il Parlamento Europeo in relazione alla nuovo Regolamento per la Protezione dei Dati ha adottato il cosiddetto \u201cGeneral Approach\u201d, ossia una versione che si avvia ad essere la versione definitiva. Questo significa che le discussioni a tre, tra Commissione Europea, Parlamento Europeo e Consiglio Europeo porteranno ad una versione definitiva del Regolamento, attesa per fine anno.<\/p>\n<p>Sono attesi ancora alcune modifiche ed aggiustamenti al testo finale, ma qualsiasi esse possano essere, gi\u00e0 ora si possono individuare dieci passi che le Societ\u00e0 dovranno fare per assicurarsi la compliance e garantire un alto livello di sicurezza nel momento in cui si processano dati personali:<\/p>\n<ol>\n<li><strong>Porre la protezione dei dati personali tra le priorit\u00e0 del Risk Management<\/strong>. Il Risk Management Officer deve essere conscio dei rischi rappresentati dal gestire i dati dei clienti, dei fornitori e degli stessi dipendenti. Il suo contributo nel misurarli \u00e8 essenziale per graduare gli investimenti necessari a garantire la sicurezza dei dati.<\/li>\n<li><strong>Coinvolgere la governance dell\u2019azienda, a partire dal CEO<\/strong>, per avere il giusto livello di coinvolgimento necessario ad assicurare i cambiamenti di carattere organizzativo e tecnologico. Anche se il core business dell\u2019azienda non \u00e8 rappresentato dalla gestione dei dati personali, questi rappresentano un asset importante da proteggere: qualsiasi danno o violazione rappresenta, oltre a possibili perdite economiche, un danno di immagine.<\/li>\n<li><strong>Nominare, all\u2019interno del proprio organigramma, le figure<\/strong>\u00a0di Data Processor, Data Controller e Data Protection Officer (quest\u2019ultima obbligatoria solo per la PA o se espressamente prevista dalle leggi nazionali).<\/li>\n<li><strong>Coinvolgere il dipartimento IT ed assicurarsi la collaborazione del CIO<\/strong>, in relazione a tutti gli interventi legati alla cybersecurity.<\/li>\n<li><strong>Svolgere un \u201cdata protectio impact assessment (DPIA)\u201d relativo alla protezione dei dati<\/strong>. In questa attivit\u00e0 saranno coinvolti tutti gli attori precedentemente individuati e si terr\u00e0 conto della natura, della portata, del contesto e delle finalit\u00e0 che il trattamento dei dati rappresenta per la propria azienda, cos\u00ec come della probabilit\u00e0 e dell\u2019impatto dei rischi sui diritti e le libert\u00e0 degli individui.<\/li>\n<li>Verificare che siano gi\u00e0 formalizzate in azienda tutte le procedure relative all\u2019acquisizione del\u00a0<strong>consenso da parte dei Data Owner<\/strong>\u00a0compreso anche il diritto alla cancellazione dei record personali (<strong>Right to be forgotten<\/strong>).<\/li>\n<\/ol>\n<ol>\n<li><strong>Disegnare\u00a0<\/strong>per la propria organizzazione\u00a0<strong>uno scenario target<\/strong>\u00a0di sicurezza dei dati in linea con le indicazioni del Regolamento Europeo:<\/li>\n<\/ol>\n<ul>\n<li><em>Privacy by design<\/em>\u00a0e\u00a0<em>data protection by default<\/em>: l\u2019integrit\u00e0 dei dati deve essere parte integrante della progettazione o dell\u2019acquisto di procedure ed applicazioni informatiche.<\/li>\n<li><em>Security of processing<\/em>: i sistemi che processano dati personali devono essere sicuri, robusti e disponibili nel tempo.<\/li>\n<li><em>Record of data processing activities<\/em>: l\u2019accesso ai dati deve essere tracciabile e la tracciabilit\u00e0 deve essere a disposizione delle autorit\u00e0 nazionali su richiesta.<\/li>\n<li><em>Breach notification<\/em>: i danni o le violazioni di dati devono essere scoperti e comunicati dal Data Controller agli interessati ed alle autorit\u00e0 preposte. Il ripristino a seguito di un incidente deve essere completo e tempestivo.<\/li>\n<\/ul>\n<ol>\n<li>A seguito di una gap analysis tra le pratiche correnti e lo scenario target delineato al punto precedente,\u00a0<strong>individuare i principali gap<\/strong>\u00a0organizzativi e tecnologici e quindi\u00a0<strong>pianificare gli sviluppi e la messa in produzione delle misure tecniche ed organizzative<\/strong>\u00a0per colmare i gap individuati. Nel far questo il regolamento europeo per la protezione dei dati sottolinea un approccio pragmatico, fortemente basato sulla valutazione e gestione del rischio:<\/li>\n<\/ol>\n<ul>\n<li>Nell\u2019articolo 30 si sottolinea come il Data Controller ed il Data Processor prenderanno misure atte ad assicurare un livello di sicurezza\u00a0<em>proporzionale<\/em>\u00a0ai rischi rappresentati dal trattamento dei dati e tenendo conto dello\u00a0<em>stato dell\u2019arte<\/em>\u00a0e dei\u00a0<em>costi<\/em>\u00a0della loro implementazione.<\/li>\n<li>Negli articoli 31 e 32 si precisa che l\u2019obbligo di comunicare danni e violazioni \u00e8 valido solo per quelle situazioni che dovessero risultare\u00a0<em>ad alto rischio<\/em>\u00a0per i diritti e le libert\u00e0 degli individui. Se il dato compromesso \u00e8 criptato o altrettanto validamente protetto, in modo da risultare non intellegibile, il Data Controller non ha l\u2019obbligo di comunicazione.<\/li>\n<li>Nell\u2019articolo 33 si specifica che il Data Protection Impact Assessment, di cui al punto 5, \u00e8\u00a0<em>richiesto solo<\/em>\u00a0nel caso in cui le attivit\u00e0 di processo dei dati personali comporti un\u00a0<em>alto rischio<\/em>\u00a0per i diritti e le libert\u00e0 degli individui, quali la il rischio di discriminazione, furto d\u2019identit\u00e0, frodi o perdite finanziarie.<\/li>\n<\/ul>\n<ol start=\"9\">\n<li><strong>Instaurare<\/strong>\u00a0corrette\u00a0<strong>relazioni con gli organismi nazionali ed europei<\/strong>\u00a0incaricati della privacy. I Data Controller nominati al di fuori dell\u2019EU debbono individuare un\u00a0<strong>rappresentante all\u2019interno dell\u2019EU<\/strong>, a meno che le attivit\u00e0 di processo dei dati personali non siano, per l\u2019azienda, occasionali e\/o non rappresentino un rischio per gli individui.<\/li>\n<\/ol>\n<ol>\n<li>Se infine\u00a0<strong>l\u2019azienda processa dati personali sensibili<\/strong>, mettere in atto addizionali misure di sicurezza per assicurare un elevato livello di consapevolezza dei rischi e permettere in tempo reale l\u2019adozione di azioni preventive, correttive e di mitigazione.<\/li>\n<\/ol>\n<p>Non da ultimo va ricordato che il quadro sanzionatorio, delineato nel Regolamento e tuttora in discussione, con multe fino al 5% del fatturato annuo, risulterebbe rilevante e tale da allineare la Data Protection alle misure per l\u2019antitrust e l\u2019anticorruzione!<\/p>","protected":false},"excerpt":{"rendered":"<p>Nel Giugno 2015 il Parlamento Europeo in relazione alla nuovo Regolamento per la Protezione dei Dati ha adottato il cosiddetto \u201cGeneral Approach\u201d, ossia una versione che si avvia ad essere la versione definitiva. Questo significa che le discussioni a tre, tra Commissione Europea, Parlamento Europeo e Consiglio Europeo porteranno ad una versione definitiva del Regolamento,\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2015\/09\/06\/gdpr-ten-steps-compliance\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":35,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[48,14,24,49,43],"class_list":["post-577","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","tag-corporate-governance","tag-organization","tag-privacy-impact-assessment","tag-processes","tag-what-to-do"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/577","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=577"}],"version-history":[{"count":6,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/577\/revisions"}],"predecessor-version":[{"id":750,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/577\/revisions\/750"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}