Soluzioni avanzate per la digitalizzazione, l’automazione e l’efficientamento dei processi
per Aziende e Studi Professionali

Le parole del presente: GDPR

support help

Indice dell'articolo

Venghino siori venghino, più gente entra, più sigle si vedono!
Giuro solennemente che un giorno scriverò un articolo di questa rubrica che non parli di una sigla, ma non è oggi quel giorno.

Iniziamo dalle basi: che cos’è il GDPR.
Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali.

Fin qui sembra tutto chiaro: è qualcosa che ha a che fare con la privacy delle persone.
Semplice? Non proprio, perché la cosiddetta “compliance” al GDPR, cioè il fatto che un’Azienda tratti e gestisca i dati secondo certi parametri stabiliti non è una scelta. E’ un OBBLIGO.

Adeguamento obbligatorio e mal di testa.

…a proposito di privacy e furti d’indentità… (Foto: The Net, 1995)

Quando questo regolamento è entrato in vigore molti hanno fatto spallucce.
Se ne parlava già da anni, ma è stato sempre un po’ preso sottogamba come obbligo: non è così comune sentir parlare di controlli in questo senso e molti hanno derubricato la questione con un gesto della mano e un “masssssssssì, magari dopo” o il classico “GDPChe?”

Un po’ come quando era diventato obbligatorio mettere l’adesivo sull’auto con la velocità consentita, che come tante cose in questo Paese è “passato in cavalleria” piuttosto velocemente.

Ma a differenza dell’adesivo di cui sopra, il GDPR c’è, vivo e vegeto e rischia di farvi passare dei bruttissimi 5 minuti, oltre a costarvi fino al 4% del fatturato (RIPETO, DEL FATTURATO) come ammenda.

Ho la vostra attenzione? Perfetto.

Cosa, chi, come: nella nebbia si nasconde il rischio.

Chi protegge i dati? (Foto: Johnny Mnemonic, 1995)

Il GDPR stabilisce che i dati “sensibili” debbano essere protetti. Punto.
Per fare questo stabilisce che ci deve essere chi si deve prendere la responsabilità legale dei dati che si trattano (il Titolare) e chi deve preoccuparsi de facto della protezione, il Dpo (Data Protection Officer o Rpd). Oltre a questo stabilisce una serie di “paletti” tecnici: ad esempio il dover tenere un registro dei Data Breach o stabilire procedure ed istruzioni operative che vanno scritte, nero su bianco.
Più molte altre regole…

La ratio della norma si basa sulla valutazione del rischio (risk based), con il quale si determina la misura di accountability (tradotto in responsabilità, ma più precisamente “dover rendere conto del proprio operato”) del Titolare del trattamento, che deve tenere conto della natura, della portata, del contesto e delle finalità, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. L’approccio risk based, infatti, ha il vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla Legge ed è più adattabile al mutare delle esigenze e degli strumenti tecnologici. Quindi potremo riassumere in responsabilità e trasparenza i principi generali del GDPR.

Accountability: tutto e niente.

Affermare di essere “bravi e buoni” non basta. Bisogna dimostrare di esserlo. (Foto: Teletubbies)

Il concetto di ACCOUNTABILITY è centrale perché, sostanzialmente, si chiede alle imprese di autocertificare di essere “brave, buone e belle” nell’essere GDPR compliant.
Sembra una cosa un po’ arbitraria (e in un qualche modo un po’ lo è), ma tendendo fermi i 6 punti di vulnerabilità principali rispetto al trattamento dei dati e muovendosi in direzione preventiva rispetto ai problemi (e mettendo nero su bianco come lo si fa), si è già avantissimo.

  • Distruzione dei dati accidentale o illegale
    Es: cancello il file su cui sono riportati i dati dei dipendenti.
  • Indisponibilità dei dati
    Es: un hacker entra nel sistema e lo rende irrangiungibile
  • Perdita dei dati
    Es: rubano un PC aziendale
  • Modifica dei dati
    Es: modifico senza autorizzazione i dati di un dipendente
  • Divulgazione dei dati
    Es: pubblico foto di dipendenti senza la loro autorizzazione
  • Accesso non autorizzato ai dati
    Es: qualcuno entra nel sistema e ruba i dati, hacker o anche dipendente

La questione è semplice: se un hacker vi ruba i dati dei dipendenti (ammesso e non concesso che possiate rendervene conto) e la cosa finisce lì, è un problema “relativamente” piccolo.
Molto relativamente, sia chiaro.
Se però vi ricatta – con un cryptovirus – e siete obbligati a chiamare la Polizia Postale per fare denuncia, la prima cosa che vi verrà chiesta è la compliance al GDPR e se avete stabilito delle contromisure (ad esempio in caso di “Data Breach”).

E se non lo siete, oltre al danno inflitto dall’hacker vi ritrovere pure sanzionati e la sanzione, lo ripeto, può arrivare fino al 4% del fatturato. QUATTROPERCENTO DEL FATTURATO, non dell’utile.
“Cornuti e mazziati”.

Non rischiate e chiedeteci come possiamo aiutarvi a rendere più efficiente, sicuro e a prova di GDPR il vostro lavoro!

Per non dimenticare, un luminoso esempio di come NON essere GDPR compliant…

politico
…e gli hacker ringraziano.

Elena Iseni
Resp. Mkt e Comunicazione

CONDIVIDI L'ARTICOLO

chi ha tempo non aspetti tempo!

Ti si è accesa una lampadina?

Cogli ADESSO l’opportunità di MIGLIORARE IL RENDIMENTO del tuo business!

Chiamaci senza impegno allo 02 500 470 80 o scrivici al nostro indiririzzo web@nubys.it :
saremo lieti di ripondere a tutte le tue domande!

Altro dal BLOG

rpa
Articoli

RPA ed efficienza operativa

L’Automazione dei Processi Robotici (RPA) è una tecnologia che sfrutta software avanzati per automatizzare attività ripetitive e regolari in un’organizzazione. Questo include processi basati su

Leggi l'articolo »
Translate »

Scarica la brochure sull'analisi preliminare

Grazie! Clicca sul pulsante per iniziare il download (PDF, 346 KB)

Scarica l'e-book

Grazie! Clicca sul pulsante per iniziare il download (PDF, 795 KB)