GDPR- General Data Protection Regulation

Negli ultimi anni, la diffusione sempre più crescente di internet e dei canali social, di nuovi strumenti tecnologici e di sistemi di customer service, ha spinto l’Unione Europea a rivisitare il sistema della protezione dei dati personali in un’ottica sempre più “digital”, rafforzando i requisiti della responsabilità del trattamento e modellando un unico Regolamento privacy (UE 2016/679) applicabile in modo uniforme a tutti gli stati membri.

Il GDPR - General Data Protection Regulation avrà piena applicazione il 25 maggio 2018.  Uno dei principi cardine del nuovo Regolamento è l’Accountability che impone al Titolare del trattamento di dimostrare di aver ridotto al minimo i rischi legati a diffusione impropria, perdita o distruzione accidentale dei dati personali gestiti dalla società.

Come si articola un programma di adeguamento al GDPR?

  • Pre-assessment: si parte con una valutazione preliminare del contesto aziendale finalizzato alla comprensione del livello di maturità dell’azienda rispetto alla gestione dei dati personali (es. perimetro dei dati trattati in azienda, processi sensibili ai fini privacy, livello di consapevolezza dell’organizzazione aziendale, presenza di policy e procedure, sistemi e applicativi utilizzati, ecc.)
  • Risk assessment: attraverso un approccio risk based si conduce un’analisi approfondita dei rischi privacy, intervistando i principali data owner, mappando i processi rilevanti, i flussi dati e gli archivi sensibili e valutando le misure tecniche, organizzative e informatiche in essere
  • Gap analysis: per ogni tipologia di trattamento, si definisce il reale livello di “rischio privacy” e si identificano le aree di miglioramento, ovvero tutte le misure tecniche, organizzative e informatiche da implementare per l’adeguamento al nuovo Regolamento
  • Implementazione del nuovo Modello GDPR: dopo aver delineato un piano di implementazione, si realizzano tutte le azioni precedentemente identificate, partendo dalla produzione / revisione del nuovo set documentale ai fini privacy (es. organigramma privacy, registro dei trattamenti, nuove informative privacy, nuove clausole contrattuali, ecc.) così come di policy, linee guida e procedure operative interne (es. procedure di data breach, procedure di gestione e manipolazione dei dati, procedure di videosorveglianza, policy e regolamento IT, ecc.)
  • Formazione: si pianificano ed erogano sessioni di formazione specifica multi-canale (es. aula, workshop, e-learning, ecc.) a tutte le risorse aziendali per illustrare il nuovo modello e diffondere una corretta cultura di gestione e protezione dei dati personali in azienda

Quali sono i principali benefici per l’azienda?

  • Disporre di un nuovo modello di gestione privacy conforme al nuovo standard GDPR secondo un approccio risk based
  • Gestire il trattamento dei dati in modo più chiaro e responsabile, riducendo il rischio sanzioni
  • Disporre di un’organizzazione più consapevole sulle modalità di trattamento dei dati in azienda
  • Aumentare il livello di brand reputation nei confronti di terzi, grazie a una gestione sicura e ottimale dei dati trattati
  • Verificare grazie al GDPR il livello di maturità di processi e organizzazione e del sistema di controllo interno in azienda