Probabilmente quello che leggerai a breve ti farà sorgere mille interrogativi perché quello che sto per dirti è che se pensi di essere a norma con il GDPR solo perché hai predisposto un’infinità di documenti e hai costruito un fortino inespugnabile dall’esterno senza preoccuparti di altro, allora sei un mare di guai.

 

Ma ti sei mai chiesto qual è la più frequente causa di un data breach?

Pensaci …. forse te lo dico dopo …. o forse no!!!!

Una cosa che, però, ti dirò subito e che ti farà rimanere malissimo è che il GDPR con la burocrazia non ha nulla a che vedere.

In questo primo anno di applicazione del Regolamento Europeo n. 679/2016 molti addetti ai lavori senza cogliere la vera essenza della normativa europea e rimanendo ancorati alle prescrizioni di cui al vecchio D.Lgs 196/2003, hanno di fatto “burocratizzato” il General Data Protection Regulation (GDPR). Ciò ha portato alla redazione di numerosi documenti per lo più inutili che, in qualche modo, hanno appesantito i processi aziendali rendendo ancor più complesso il percorso di compliance.

Il Regolamento Europeo sulla protezione dei dati personali introducendo il principio di “accountability” responsabilizza il titolare e/o il responsabile del trattamento cambiando l’approccio alla materia della protezione dei dati personali e focalizzando l’attenzione sulla consapevolezza del titolare del trattamento in merito alla gestione dei dati all’interno e all’esterno della realtà aziendale e sui processi aziendali.

Lo strumento che il Regolamento Europeo ha messo a disposizione delle aziende e della P.A. per raggiungere tale obiettivo è il Registro dei trattamenti che, lungi dall’essere un adempimento formale, e obbligatorio nei casi espressamente previsti dall’art. 30, è fondamentale per mappare tutti i processi che abbiano un impatto sul trattamento dei dati. Conoscere i flussi attraverso i quali si entra in possesso dei dati, come e dove vengono gestiti e successivamente archiviati e conservati, la base giuridica e le finalità del trattamento, per quanto tempo vengono conservati e quali sono le misure di sicurezza logiche, fisiche ed organizzative implementate, è esattamente ciò che la normativa sulla protezione dei dati richiede di conoscere.

Insomma viene richiesta maggiore consapevolezza e cultura in materia di protezione dei dati. La formazione e il rispetto di policy aziendali orientate alla protezione dei dati delle persone diventano fondamentali, come è parimenti fondamentale l’approccio nella predisposizione delle misure di sicurezza logiche che deve essere orientato alla prevenzione dei rischi. Le minacce sono tante, sempre più frequenti e in continua evoluzione per cui non è ammissibile ragionare con la logica del “se accadrà” ma bisogna predisporre adeguate contromisure per ridurre al minimo non solo la probabilità del verificarsi di una minaccia per la sicurezza, ma ragionando con la logica del “quando accadrà” ridurre al minimo la gravità delle minacce in modo da evitare che le conseguenze di un’eventuale violazione dei dati possa cagionare danni gravi e irreparabili.

Devi anche considerare che probabilmente hai fatto 101 documenti, ma non hai messo a norma Privacy e quindi GDPR i tuoi processi aziendali. In pratica hai processi aziendali che sono completamente fuori norma anche se hai il tuo bel archivio di documenti cartacei.

E questo è un problema anche perché come sai dal 19 Maggio il Garante ha iniziato la vigilanza e quando verrà da te, oltre alla documentazione, ti chiederà sulla messa a norma dei tuoi processi aziendali…

Lo so, lo so ti starai domandando perché non ho letto prima questo articolo, perché sono sommerso da un mare di documenti che nemmeno comprendo, perché i miei dipendenti non conoscono le policy aziendali e continuiamo a non sapere come gestiamo i dati e i miei processi aziendali non sono a norma GDPR.

Non posso risponderti perché rischierei di essere presuntuoso.

Nulla è perduto tuttavia, prima che anche il Garante si accorga che il percorso di adeguamento è stato solo formale che sostanziale, nell’ottica della prevenzione ti suggerisco di riesaminare la compliance della tua azienda al GDPR attraverso il nostro strumento gratuito che ti consentirà nella di ottenere un punteggio realistico sul tuo stato attuale di messa a norma.

Che il Digitale sia Con TE

Nicola.