General Data Protection Regulation - che cos'è?

A chi interessa implementare un sistema GDPR?

A TUTTE LE AZIENDE CHE TRATTANO DATI DI PERSONE FISICHE RESIDENTI NELL'UNIONE EUROPEA (E CON LA NUOVA LEGGE FEDERALE SULLA PROTEZIONE DEI DATI, ORA ANCHE IN SVIZZERA)

Il regolamento generale sulla protezione dei dati, ufficialmente regolamento n. 2016/679 e meglio noto con la sigla GDPR, le imprese sono chiamate ad allinearsi con una normativa molto stringente. Per le aziende è una grande opportunità per rivedere e riorganizzare il proprio sistema di gestione delle informazioni e dei sistemi organizzativi che le gestiscono.

Non solo check list e informative, ma capacità di raggiungere gli obiettivi e di documentare ciò che è stato fatto per garantire flussi dati e processi di gestione delle informazioni sicuri

Applicare il GDPR (General Data Protection Regulation) significa far entrare nell’operatività quotidiana anche la gestione del dato personale. Quindi non si dovrebbe vedere l’applicazione del Regolamento Europeo come un qualcosa di burocratico, di carta da fare e poi da lasciare a prendere polvere in un faldone, ma come un sistema gestionale vero e proprio.

La privacy non deve più essere vista come un insieme di documenti e non va pensata o gestita solo come un adempimento burocratico. Ma deve essere l'occasione per aumentare l'efficienza e l'efficacia, con la sicurezza in prima linea, dei flussi informativi di dati

La chiave per la conformità alla GDPR è:

Un'efficace Risk Assessment, per dimostrare che l’approccio basato sul rischio che si adotta è adeguato al tipo di organizzazione ed è allineato ai requisiti GDPR.

• Il concetto "privacy by design", pone l'attenzione sull'esigenza che la protezione dei dati personali venga garantita "fin dalla progettazione" dei sistemi di trattamento.

• Il concetto di "privacy by default" (protezione per impostazione predefinita) si afferma la necessità che la protezione dei dati personali sia garantita "per impostazione predefinita". Questo principio prevede che per impostazione predefinita le imprese devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

L'introduzione di tali due principi obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati e ad adottare dei comportamenti proattivi in grado di garantire il rispetto del Regolamento in tutte le fasi del trattamento dei dati personali. Dati, processi, persone, tecnologie sono le componenti di un nuovo approccio, innovativo, ma soprattutto efficace ed efficiente al GDPR