Dalla data odierna, per essere conformi al GDPR Regolamento EU 2016/679 del 27 aprile 2016, ogni azienda deve effettuare una serie di adempimenti che coinvolgono l’intera struttura organizzativa aziendale.
Le nuove norme entrano in vigore oggi 25 maggio 2018.
Nello specifico, tutte le aziende, compresi i professionisti e gli enti non profit, anche di piccole dimensioni, devono effettuare un’analisi del rischio e una mappatura iniziale dei dati, per poi passare all’implementazione pratica delle misure di sicurezza, con una particolare attenzione al livello di protezione ed ai costi.
Deve, inoltre, essere mantenere aggiornato il sistema di sicurezza per poter dimostrare, in ogni momento, all’autorità di controllo quali misure sono state adottate per la tutela dei dati.
Ogni azienda deve definire gli adempimenti coerenti con lo spirito del GDPR , rispetto alle attività che vengono concretamente svolte ed ai dati effettivamente trattati.
Dati di monitorare
La ricognizione della situazione esistente è il primo passo da cui partire. Tale ricognizione deve essere focalizzata:
– sui dati,
– sui trattamenti,
– sugli interessati al trattamento,
– sui profili interni che trattano i dati.
In particolare, la ricognizione sui dati consiste nella mappatura e nella individuazione del rischio/peso di ogni singolo dato, collocando i dati più pericolosi nella mappa e evidenziandoli in rapporto a dove si trovano nella struttura aziendale (uffici, divisioni, aree, server, etc.).
Questa prima ricognizione comincia già a dare l’idea dell’investimento che sarà necessario, ossia se si tratta di una azienda che tratta molti dati a rischio o meno.
Finalità dei trattamenti
La seconda ricognizione riguarda i trattamenti, ossia una descrizione accurata dei trattamenti che vengono eseguiti, e a quali fini (ad esempio: trattamenti per gestione dei clienti, fornitori, soci, tesserati, fornitori, pazienti, trattamenti per gestione dei dati del personale e dei collaboratori, trattamenti a fini di marketing, trattamenti della divisione IT dei dati degli utenti, e così via). Anche in questo caso, l’individuazione del trattamento fa comprendere, in prospettiva, i rischi connessi.
Il nostro studio, offre, attraverso i propri consulenti, un’assistenza qualificata per l’adeguamento della struttura aziendale al Regolamento EU 2016/679 del 27 aprile 2016.
Dopo una prima verifica delle necessità dell’azienda, verrà fornita la struttura dell’impianto privacy, ovvero un “contenitore” da riempire con le informazioni necessarie, oltre alle diverse informative per gli attori interessati.