Per arrivare preparate a maggio 2018 è importante che le aziende comincino già a rivedere i propri processi interni, considerando la privacy degli utenti come elemento centrale dei propri procedimenti e potenziando la comunicazione aziendale interna attraverso programmi di formazione del personale che ha accesso ai dati sensibili aziendali.  

Uno dei punti fondamentali su cui verte il GDPR è il concetto di privacy by design, secondo il quale le misure di protezione dei dati sensibili devono essere un requisito a priori della progettazione di ogni processo aziendale. Questo implica la messa in atto di determinati procedimenti che garantiscano il trattamento esclusivo dei soli dati strettamente indispensabili allo svolgimento dei propri obblighi professionali e che l’accesso alle informazioni sensibili venga limitato solo agli utenti che ne devono svolgere l’elaborazione.

Con l’entrata in vigore del Regolamento Generale sulla Protezione dei Dati le aziende sono tenute a istituire la figura del Data Protection Officer (DPO), nominato sulla base delle sue competenze in materia di diritto e di pratiche di protezione dei dati. Questa figura da una parte ha il compito di vigilare sui processi interni all’azienda favorendo l’osservanza degli obblighi normativi e dall’altro di fungere da interfaccia tra i vari soggetti coinvolti nel trattamento di dati personali (i soggetti titolari dei dati, le divisioni operative aziendali e l’autorità di controllo). Il titolare o il responsabile dell’azienda devono mettere a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Altra novità introdotta dal GDPR riguarda la necessità di notificare, entro 72 ore, al Garante della Privacy, eventuali violazioni di dati che possano mettere a rischio i diritti degli individui. Nel caso in cui la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, l’azienda deve comunicare la violazione anche all’interessato, al fine di permettergli di prendere le precauzioni necessarie.

Compito dell’azienda è quindi quello di impegnarsi non solo nella corretta gestione dei dati, ma anche nella protezione di essi, proteggendoli dai sempre più numerosi attacchi informatici. Per questo è importante dotarsi di soluzioni affidabili, complete e facili da gestire, per difendersi dagli attacchi comuni ma anche da quelli più avanzati: Elmat mette a disposizione una gamma completa e professionale di prodotti dedicati alla sicurezza IT per garantire ai propri utenti che i loro dati sono sempre al sicuro.

L'articolo GDPR e aziende: cosa fare per adeguarsi alla nuova normativa sembra essere il primo su Elmat Blog.

Tra le molte novità introdotte dal nuovo regolamento europeo, che si inserisce nel solco di un generale processo di innovazione digitale che sta interessando tutta la pubblica amministrazione, tre sono le incombenze a cui gli enti pubblici devono fare fronte con maggiore solerzia:

1. Nomina del Responsabile della Protezione dei dati

Il regolamento impone l’obbligo per le pubbliche amministrazioni di nominare un Responsabile della protezione dei dati (Rdp o Dpo). Si tratta di una figura che deve possedere delle conoscenze specifiche in materia di protezione dati e che dovrà occuparsi della corretta applicazione della normativa. Il Responsabile della protezione dei dati opera in condizioni di indipendenza e di autonomia e riferisce direttamente ai vertici istituzionale. Può essere un ente, una persona giuridica o un soggetto esterno, purché non si creino problemi di conflitto di interessi. Dal momento che i tempi di procedimento di nomina possono essere piuttosto lunghi, è bene che le pubbliche amministrazioni procedano per tempo al processo di affidamento del servizio.

2. Registro dei trattamenti

Altra novità imposta dal GDPR è l’adozione di un registro dei trattamenti. Si tratta di un documento che cataloga nello specifico le attività di trattamento in maniera completa e dettagliata: finalità, categorie di dati, categorie di destinatari, misure di sicurezza, tempo di conservazione e ogni altra informazione utile in tema. Si tratta di uno dei punti più complicati del nuovo regolamento che sta costringendo le pubbliche amministrazioni a un enorme lavoro di catalogazione.

3. Data breach

Il GDPR introduce il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali. Questo significa che, in caso di attacchi alle reti e violazioni degli archivi, le pubbliche amministrazioni sono tenute a notificare l’incidente al Garante della Privacy entro 72 ore. Di conseguenza gli enti pubblici devono attrezzarsi con sistemi che garantiscono la sicurezza degli archivi informatici e cartacei, formando il personale autorizzato a trattare i dati e compilando un apposito registro delle violazioni.

Oltre a questi tre adempimenti, altre sono le novità cui gli uffici pubblici devono far fronte:

• il diritto all’oblio: viene rafforzato il diritto all’oblio ossia la possibilità per l’interessato di richiedere e ottenere dal titolare la cancellazione dei dati personali che lo riguardano per  motivi legittimi. Il titolare del trattamento deve procedere all’eliminazione dei dati e informare altri titolari del trattamento di effettuare lo stesso.

• privacy by design e privacy by default: le pubbliche amministrazioni devono adottare misure organizzative e tecniche che tutelino i principi di protezione dei dati e l’utilizzo dei dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

L'articolo Pubbliche amministrazioni e GDPR sembra essere il primo su Elmat Blog.