Dal 25 maggio 2018 si darà piena applicazione al nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) che impone di ridefinire il modo in cui le aziende e le organizzazioni affrontano e gestiscono la privacy e la sicurezza informatica.

Cosa prevede il GDPR

Il GDPR impatta sulla gestione delle informazioni personali relative a clienti, collaboratori, fornitori, ma anche su processi e funzioni aziendali (CEO, HR, Sales, Marketing, IT, …).

Il GDPR riguarda tutte le aziende di tutte le dimensioni e di tutti i settori, compreso il settore pubblico e il terzo settore.

Con il GDPR le organizzazioni hanno il dovere di realizzare un proprio progetto di sicurezza e protezione del dati personali. Non si tratta semplicemente di adattarsi a nuove regole: è necessario dotarsi di nuove e più stringenti procedure.

Gli adeguamenti al GDPR devono avvenire attraverso comportamenti pro-attivi tali da dimostrare la concreta attuazione di misure finalizzate ad assicurare che i dati personali vengano trattati in conformità al GDPR.

Tutte le aziende e le organizzazioni devono mettere al centro dei propri processi la protezione dei dati personali, secondo il principio “Data Protection by Design e by Default“.

Tale principio “Privacy by Design” risulta essere declinato nei seguenti modi:

  • proattività e non reattività
  • tutela della privacy a partire dalla configurazione di default
  • tutela della privacy a partire dal disegno di sistemi, software e processi aziendali
  • garanzia della piena funzionalità senza ignorare la tutela dei dati personali
  • sicurezza end-to-end per l’intero ciclo di vita dell’informazione
  • visibilità e trasparenza
  • rispetto per la privacy dell’utente con un approccio che metta al centro i diritti dell”‘interessato” (persona i cui dati personali sono trattati)

Sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.