Il Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 nella UE, è finalizzato a fornire ai cittadini europei uno strumento per il completo controllo dei loro dati personali, semplificando e unificando nel contempo il quadro normativo per le Imprese che gestiscono tali dati.
L’approccio della disciplina non è più di carattere prescrittivo, cioè non fissa ciò che deve o non deve essere fatto per risultare compliant, ma indica gli obiettivi da raggiungere per garantire la completa tutela dei dati personali, attraverso l’applicazione di una serie di disposizioni che guidano le imprese nel processo di adeguamento.
Il GDPR sostituisce l’attuale Direttiva 95/46/EC sulla Protezione dei Dati, datata 1995, risultata ormai inadeguata rispetto ai cambiamenti imposti dalla digitalizzazione e verrà applicato uniformemente in tutti gli stati della UE.
Uno dei principi chiave del GDPR è quello di accountability, cioè di responsabilizzazione, infatti il Titolare del Trattamento dei dati è individuato come responsabile di qualunque decisione in merito alle misure aziendali da predisporre per il trattamento, la conservazione e la sicurezza dei dati stessi.
Per l’attuazione del GDPR sono stati introdotti nuovi strumenti:
– Il Registro dei Trattamenti per censire in maniera dettagliata e completa le operazioni di trattamento effettuate all’interno dell’azienda
– la figura del Data Protection Officer che ha il compito di informare e consigliare il Titolare, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR , e verificare che la normativa e le policy aziendali siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, e la relativa reportistica.
– Il Data Breach, che comprende tutte le procedure necessarie ad individuare le eventuali violazioni verificatesi, considerando che devono essere comunicate senza ingiustificato ritardo entro 72 ore dal momento in cui il Titolare ne è venuto a conoscenza.
– la Valutazione d’impatto che va attuata nei casi specificamente previsti dal GDPR, e nel momento in cui vengano compiute operazioni di trattamento da considerarsi preventivamente rischiose.
– la definizione di politiche di Sicurezza e la realizzazione di un modello di analisi dei rischi, che comprende la valutazione delle misure tecniche ed organizzative da adottare, funzionali all’obbligo imposto in capo al Titolare di garantire ed essere in grado di dimostrare che il trattamento è effettuato secondo il principio chiave dell’accountability.
PCA da sempre orientata al servizio e alla tutela dei propri Clienti, ha attivato al proprio interno un team specializzato e un piano di adeguamento alle nuove normative, con conseguente realizzazione delle necessarie attività.
L’approccio di questo team guidato dal CFO di PCA Stefano Colondri, è stato dapprima formativo e poi valutativo, per stabilire il rischio del trattamento e l’impatto sugli interessati, siano essi Clienti che Titolari e responsabili del trattamento.
E’ stato quindi sviluppato un modello attuativo che ci consentirà di identificare le misure dell’adeguamento al GDPR, così come lo sviluppo degli adempimenti e la loro attuazione aziendale per la tutela e sicurezza effettiva dei dati dei nostri clienti.
In qualità di specialisti del Risk Management la gestione del nostro rischio interno ha assunto una funzione strategica e competitiva, consentendoci di poter fornire anche ai nostri Clienti una completa e qualificata consulenza, per la protezione dagli attacchi informatici, per garantire la sicurezza dei dati e l’attuazione di corrette procedure contro il cyber risk.
Per approfondire l’argomento e una valutazione preventiva del rischio contatta i nostri esperti compilando la form qui di seguito.