Soluzioni di valore per le aziende | IPQ

Interviste

Pausa caffè con IPQ ... “ il GDPR: semplificazioni e opportunità per le aziende”

Inauguriamo una serie di interviste su temi specifici con un approfondimento dedicato alla nuova gestione dei dati, privacy e applicazione del GDPR.

Matteo Dellavedova, ingegnere e professionista IPQ nel settore, ci accompagna alla scoperta delle principali novità e opportunità offerte dal nuovo regolamento.

Il regolamento ha l’obiettivo di uniformare la disciplina della privacy su tutto il territorio europeo.

COSA CAMBIA

La prima NOVITA’ che apporta rispetto alla precedente legislazione sulla privacy è il focus sul DATO PERSONALE inteso unicamente come l’insieme dei dati relativi alla singola persona fisica, identificata o identificabile (“interessato”), operante in azienda. Dalla nuova definizione di dato personale deriva che non è più necessario gestire i dati delle persone giuridiche in possesso dell’azienda.

Un’altra interessante NOVITA’ è il cambiamento di APPROCCIO: il nuovo Regolamento richiede che il titolare con un atteggiamento proattivo individui i rischi esistenti in azienda e che applichi i provvedimenti necessari per prevenirli ed evitarli, attraverso l’adozione di misure di sicurezza fisiche (password, firewall, telecamere, vigilanza, etc.) e/o definendo formalmente le procedure per lo svolgimento di determinate attività individuate a rischio.  La legislazione precedente invece, indicava di per se all’azienda quali misure minime erano necessarie adottare per tutelare la privacy dei dati.

COSA AGGIUNGE

Il GDPR introduce il REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO che è un riepilogo di quelle che sono le categorie di dati che si trattano in azienda, con le rispettive finalità. Il registro è obbligatorio per le aziende con più di 250 dipendenti o per aziende che trattano dati sensibili (salute, razza, religione, etc.) e giudiziari.

Viene inoltre introdotta una nuova figura in azienda il RESPONSABILE TRATTAMENTO DATI (DPO) necessario solo per aziende che trattano dati sensibili o giudiziari su larga scala (es. ospedali). Responsabile potrà essere nominata sia una persona fisica, che una persona giuridica che si occuperà di tutelare tutti gli aspetti relativi alla privacy in azienda.

In caso di trattamenti delicati dei dati, che potrebbero aver impatto sulla libertà dell’individuo, è richiesta dal nuovo regolamento una VALUTAZIONE DI IMPATTO DEL TRATTAMENTO che descriva i trattamenti dei dati, le finalità, le necessità dei trattamenti relativi alle finalità, una valutazione dei rischi e le misure previste per prevenirli e affrontarli.

OPPORTUNITA’

L’applicazione del regolamento implica in molti casi che l’azienda definisca chiaramente i processi necessari per svolgere determinate attività che potrebbero essere soggette a rischio privacy. Questo è già un primo passo verso la definizione di un Sistema di Trattamento dei Dati certificabile da Ente terzo.

Ad oggi non esiste ancora uno STANDARD CERTIFICABILE, ma è certo che si sta andando verso tale direzione per una maggior tutela del titolare del trattamento dei dati e una maggiore garanzia anche degli interessati.

Collegandosi al concetto precedente di definizione di una struttura per processi che limiti di incorrere in rischi legati alla privacy, un altro elemento importante introdotto dal GDPR (art. 25) è il concetto di PRIVACY BY DEFAULT o PRIVACY BY DESIGN: l’applicazione corretta del regolamento richiede di progettare un sistema tale per cui diventi quasi impossibile violare la privacy sia per la scelta degli strumenti di sicurezza fisici che di sicurezza offerta da una definizione chiara delle procedure da seguire nella gestione dei dati.


CONTATTACI
, i nostri consulenti sono a disposizione per rispondere a qualsiasi dubbio sulla GDPR