Blog

GDPRCompliance.jpg

6 modi per fallire la GDPR compliance

Come ben saprai il GDPR, le cui sanzioni sono in deroga fino a Settembre, affligge qualsiasi tipo di azienda con partita IVA su suolo Europeo. Le sanzioni amministrative pecuniarie di questo nuovo Regolamento sono molto salate, circa il 2/4% del fatturato fino a un massimo di 20 milioni di euro del fatturato mondiale totale annuo dell’esercizio precedente.

Il GDPR è un argomento complesso, sono stati scritti articoli e libri al riguardo. Bisogna però tenere in considerazioni due fattori importantissimi:

Con questo post noi vogliamo solamente spiegarvi in maniera chiara come in semplici passi si può evitare di essere sanzionabili.

Norme sulla privacy e sulla conservazione dei dati non conformi al GDPR. Non c’è una specifica formulazione richiesta dal GDPR, ma le policy devono soddisfare i requisiti generali del GDPR stesso, così come i requisiti di qualsiasi altra giurisdizione in cui la vostra azienda opera.

Le pratiche effettive aziendali non corrispondono alla politica sulla privacy aziendale. È facile creare una politica sulla privacy conforme al GDPR, ma non è così semplice garantire che l’azienda la stia seguendo.

I fornitori terzi non sono compliance al GDPR. È responsabilità dell’azienda accertarsi che i fornitori terzi con cui si opera siano in rispetto del GDPR. Anche se si potrebbe citare in giudizio un fornitore per violazione, ciò non annullerà la responsabilità principale  dell’azienda di proteggere la privacy dei suoi clienti.

L’azienda usa il cloud? Il cloud computing di tutti i tipi rappresenta una sfida per la conformità GDPR, soprattutto per le aziende che operano sia all'interno che all'esterno dell'UE. È possibile utilizzare un sistema CRM basato su cloud per archiviare tutti i dati dei clienti? Per quanto riguarda le macchine virtuali che l’azienda ha creato e distribuito nel cloud, sa dove sono? L’azienda sa se ha bisogno di sistemi paralleli, uno nell'UE e uno all'esterno? È qui che i consulenti diventano necessari, perché i problemi sono probabilmente troppo complessi per la maggior parte delle aziende per risolvere leggendo la lingua del regolamento e facendo un'ipotesi plausibile.

L’azienda non fornisce ai suoi clienti un modo per vedere i loro dati. Con il GDPR, i clienti hanno il diritto di vedere i dati che l’azienda ha raccolto su di loro. Quali dati l’azienda deve mostrare e come deve presentare tali dati?

L’azienda non possiede buoni strumenti, processi e procedure per rilevare le violazione dei dati. Con una finestra di 72 ore, l’azienda deve essere in grado di rilevare la violazione e segnalarla ai regolatori. Troppe aziende invece impiegano settimane o mesi per tale procedura. Ciò significa aumentare non solo sugli strumenti di sicurezza, ma anche sulle procedure di controllo degli accessi, sulla crittografia, sui test del software. Se c'è un bene a lungo termine che sta uscendo dal GDPR, è che costringe le aziende di tutto il mondo a prendere sul serio la sicurezza in generale e la sicurezza dei dati in particolare.

Questi sono solo alcuni degli aspetti che le aziende devono valutare per essere GDPR compliance. Fissare le politiche sulla privacy, l'archiviazione dei dati e tutti i tipi di sicurezza porteranno sicuramente a un incremento dei costi nel breve termine, ma porteranno a un beneficio nel lungo in termini di sicurezza e riorganizzazione dei processi e della struttura aziendale. 

 



Pubblicato da Riccardo Brambilla in data 26/06/2018