GDPR ed Informatica, Tutte le info importanti per le Piccole e Medie Imprese

GDPR ed Informatica, Tutte le info importanti per le Piccole e Medie Imprese

Il 25 Maggio 2018 è una data segnata sul calendario di molti responsabili IT di piccole e medie imprese italiane ed europee: si tratta della data in cui entrerà in vigore e dispiegherà i suoi effetti il temuto GDPR, acronimo per General Data Protection Regulation, ossia il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da esigenze precise, che riguardano la certezza giuridica, l’armonizzazione fra differenti legislazioni nazionali e una maggiore semplicità delle norme. Adeguarsi a tali cambiamenti necessita innanzitutto una seria analisi preventiva di come l’azienda tratta i dati personali dei propri clienti e fornitori. Analisi che può risultare spesso di difficile attuazione se non svolta da personale qualificato: per questo affidarsi ad un consulente preparato può essere senza dubbio la strategia più veloce e, sul lungo periodo, la più economica.

Cosa cambia nel regolamento generale sulla protezione dei dati

Con l’avvento del GDPR vi sarà innanzitutto una regolamentazione più chiara su due aspetti fondamentali del trattamento dei dati degli utenti: l’informativa, ossia il chiarire preventivamente a cosa servono i dati raccolti, ed il consenso, ossia la verifica dell’espressione di volontà da parte dell’utente.

Vengono poi definiti dei limiti al trattamento dei dati personali in maniera automatizzata e poste le basi per l’esercizio di nuovi diritti. Sono inoltre stabilite delle regole molto precise per il trasferimento dei dati e per i casi di data breach, ossia la violazione dei dati.

A completare il regolamento, un apparato sanzionatorio in caso di violazione degli obblighi che appare non di lieve entità: si va da una diffida amministrativa a sanzione pecuniarie fino a venti milioni di euro.

 

Il diritto alla portabilità dei dati ed il principio di responsabilizzazione

Nel Regolamento, viene introdotto il diritto alla portabilità dei propri dati personali per il loro trasferimento da un titolare del trattamento ad un altro. Esistono però eccezioni, come ad esempio il trasferimento di dati personali a paesi extra UE (che è vietato) o ad organizzazioni internazionali che non rispondano agli standard di sicurezza.

Altra novità del GDPR è il principio di responsabilizzazione del titolare del trattamento (accountability) e, parallelamente, una maggior considerazione dei rischi che un errato trattamento dei dati personali può comportare per i soggetti interessati.

 

Come adeguarsi al GDPR

Senza volere affrontare in questa sede tutti gli step tecnici necessari per ottenere un adeguamento totale al GDPR, vediamo assieme i punti principali da cui una piccola media impresa dovrebbe partire.

 

  1. Analisi e scelta di un consulente

    Il GDPR sposta l’onere della corretta gestione dei dati totalmente in capo al titolare del trattamento, attraverso il principio di accountability (ossia essere in grado di dimostrare l’adeguatezza dei propri processi di compliance). Adeguarsi a questo principio può risultare molto complesso senza una preventiva analisi di quali dati disponga l’azienda e di come venga effettuata la loro gestione.

    Vale la pena quindi destinare un budget a questa analisi affidandosi ad una società di consulenza in materia che sappia coniugare gli aspetti legali e tecnici per stilare una lista degli adeguamenti necessari per rispettare le norme contenute nel GDPR.

  2. Investimento in infrastrutture IT

    Se non presenti o vetuste infrastrutture IT, l’adeguamento al GDPR può risultare ancora più complicato se non impossibile. Questo obbligo di legge può diventare quindi un’occasione per rivedere l’infrastruttura informatica ottenendo un doppio vantaggio: modernizzare i processi aziendali e dotarsi di uno strumento che possa facilmente gestire e tenere al sicuro i dati di soggetti terzi.

 

GDPR: un investimento necessario

Nonostante le complessità e i probabili costi che la piccola media impresa dovrà giocoforza affrontare per adeguarsi al GDPR, esso deve essere considerato come un investimento, necessario a sostenere il futuro dell’azienda stessa nel mercato. Gestire correttamente i dati significa anche e soprattutto assicurarne la qualità, presupposto per l’industria del futuro inserita in un contesto globale.