Come si comincia il percorso verso la conformità con il GDPR? Lo abbiamo chiesto agli esperti

Come si comincia il percorso verso la conformità con il GDPR? Lo abbiamo chiesto agli esperti

Ecco i principali suggerimenti che è necessario considerare per essere conformi con il Regolamento generale sulla protezione dei dati dell'UE, a partire dall'entrata in vigore ufficiale del 25 maggio 2018.

Operazioni preliminari e comprensione dell'impatto sull'azienda

Con la data di scadenza a meno di un anno di distanza, Brian Honan (@BrianHonan), amministratore delegato di BH Consulting, afferma che è arrivato il momento che aziende di tutte le tipologie e dimensioni inizino a definire i propri piani di conformità con il GDPR.

"È necessario cominciare a occuparsi ora del GDPR e del suo impatto sulle aziende. Entrerà in vigore tra meno di un anno ed è importante che tutto sia pronto prima del 25 maggio 2018", spiega.

Questo commento sulla tempestività è stato ripreso dall'analista IDC Duncan Brown (@duncanwbrown), che dice semplicemente: "Suggerimenti? Iniziare. Troppe aziende ancora nascondono la testa sotto la sabbia o pensano che [il GDPR] non le riguardi".

Aggiunge che le aziende devono accelerare i propri piani assegnando la priorità agli aspetti più importanti: "Trovare le aree che hanno bisogno di attenzione urgente e concentrarsi su di esse, ad esempio lacune nella copertura del processo o nella sensibilità dei dati.

"Prepararsi a un cambiamento radicale: il GDPR non è un progetto drastico che ha una fine, ma richiede alle aziende un cambio di comportamento permanente".

Penny Jones, analista capo di 451 Research (@451Research), concorda, aggiungendo che comprendere il regolamento e il suo impatto sull'azienda è un fattore chiave. "Le aziende devono cominciare a impegnarsi al massimo per capire quali sono i requisiti del regolamento per la conformità, anche se dovessero interpretare a modo loro il GDPR.

"Quindi, devono documentare tutti i processi in atto per diventare o rimanere conformi, operazione che risulterà utile se in futuro venissero sollevati dei casi riguardanti l'applicazione del GDPR da parte dell'autorità di protezione dei dati nella loro area di competenza o se un caso finisse in tribunale. Fino a quando non verranno presentati casi alla Corte di giustizia dell'Unione Europea o agli enti regolatori locali, gran parte del GDPR viene applicato in base all'interpretazione. In questo momento, un'azienda è più protetta se può provare di aver adottato misure considerate importanti per la conformità".

Neira Jones (@neirajones), consulente tecnologico ed ex responsabile della sicurezza dei pagamenti di Barclaycard, aggiunge che per prepararsi al GDPR si deve cominciare ad analizzare il funzionamento del regolamento in combinazione con altre normative del settore, in particolare perché alcune di esse possono coprire i requisiti descritti nel GDPR.

"Il  GDPR non deve essere analizzato in maniera isolata, ma insieme a normative come la direttiva sui servizi di pagamento (specialmente per quanto riguarda la sicurezza e l'autenticazione), la quarta  direttiva antiriciclaggio (specialmente KYC e identificazione dell'autenticazione), la direttiva relativa alla vita privata (lex specialis rispetto al GDPR), Privacy Shield e PCI DSS.

"L'analisi olistica di tutte queste normative per gli aspetti sui reati finanziari e contro la sicurezza creerà molte sinergie ed economie di scala. Le organizzazioni possono scoprire che stanno già facendo molto per raggiungere la conformità".

Nomina di un DPO

Per quanto riguarda le priorità più urgenti, Honan aggiunge: "Le principali aree da analizzare sono l'individuazione del responsabile della protezione dei dati (DPO) [non è obbligatorio tranne per alcune organizzazioni, ma in alcuni casi può essere utile – Ed], come integrare il principio di privacy by design nei prodotti e/o servizi e valutare quanto si è preparati a rilevare e rispondere a una violazione della protezione dei dati personali".

Anche se la nomina di un DPO non è obbligatoria secondo il nuovo regolamento, alcuni suggeriscono che potrebbe essere utile per migliorare la posizione sulla protezione dei dati di un'azienda.

"Assegnare poteri e responsabilità a un responsabile della protezione dei dati (DPO) con accesso diretto al consiglio d'amministrazione", consiglia Edward Lucas (@edwardlucas), redattore capo dell'Economist, alla richiesta di consigli su come affrontare il GDPR.

Pulizia dei dati e fiducia

"Il mio principale suggerimenti per la conformità con il GDPR è assicurarsi, prima di qualsiasi altra cosa, di comprendere quale sia il proprio patrimonio di dati", afferma Dan Hedley, Senior Associate di Irwin Mitchell (@irwinmitchell).

"Vale a dire, quali dati si possiedono, chi riguardano, da dove provengono, perché sono necessari, come vengono impiegati, dove vengono archiviati, con chi vengono condivisi, come vengono aggiornati, per quanto tempo vengono conservati, quali informazioni su di essi sono state condivise e come. Se non sono stati definiti questi aspetti fondamentali, non sarà possibile iniziare il processo di conformità, perché non si riuscirà a capire come agire per diventare conformi".

Neira Jones concorda sull'analizzare i dati raccolti e archiviati, aggiungendo: "Se non sono necessari non devono essere raccolti: i dati devono essere ridotti al minimo, bisogna proteggere i dati rimanenti e adottare un criterio di conservazione logico".

Rowenna Fielding (@Missig_geek), responsabile della protezione dei dati di Protecture Limited, aggiunge: "Non bisogna limitarsi a spuntare caselle, ma cominciare a trattare i dati personali nello stesso modo in cui l'organizzazione tratta il denaro: sapere da dove provengono, chi li usa, a quale scopo, dove vengono conservati e dove vanno. Poi la conformità sarà una conseguenza naturale, come l'ottima esperienza del cliente".

"Il GDPR è un'opportunità per fare pulizia", dice Elliott Haworth (@ElliottDHaworth), redattore di articoli su tematiche economiche per City A.M., che ha scritto abbondantemente sulla questione.

"Un buon punto di inizio è la mappatura dei dati di tutto il sistema: conoscere quali dati personali vengono conservati nell'azienda e il punto di archiviazione che rende le richieste di accesso più facili da gestire. Una volta saputo quali sono i dati in proprio possesso bisogna chiedersi se e perché sono necessari e per quale scopo vengono usati. Se non c'è una risposta immediata, i dati vanno eliminati. Sarà necessario il consenso esplicito per ciascun dato posseduto, quindi meno saranno, più facile sarà gestirli."

"Ritengo che probabilmente l'aspetto più importante della conformità con il GDPR sia l'onestà", osserva l'attivista per la privacy Alexander Hanff (@alexanderhanff), amministratore delegato e fondatore di Think Privacy.

"Se non si è onesti con se stessi in relazione ai dati raccolti, alle intenzioni di elaborazione e conservazione e soprattutto alla necessità o meno dei dati, sarà difficile essere conformi. Uno dei migliori processi consiste in una valutazione dell'impatto sulla privacy, che deve comunque essere basata anch'essa sull'onestà."

"Ma l'onestà va molto oltre l'introspezione: è necessario essere onesti anche con il responsabile della privacy e/o il responsabile della protezione dei dati (DPO), che non è uno sviluppatore, né un inserzionista: ha bisogno di onestà per svolgere il proprio lavoro, altrimenti si verificheranno problemi di conformità".

Hanff aggiunge che l'onestà deve estendersi all'aggiornamento delle politiche sulla privacy e alle conversazioni con le autorità di controllo in caso di violazione.

Valutazioni olistiche dei rischi e comunicazioni trasparenti

Stewart Room (@stewartroom), responsabile globale della cybersicurezza e della protezione dei dati di  PwC Legal, afferma: "Il segreto per il successo è adottare un approccio basato sul rischio nell'assegnazione delle priorità del programma GDPR. Per questo è necessaria una base per le valutazioni olistiche dei rischi che vada oltre le semplici questioni di rischio per la conformità legale. Le entità devono prendere in considerazione la probabilità di valutazioni negative e le forme che queste possono assumere, per potersi orientare verso futuri drastici cambiamenti".

Rav Roberts, responsabile globale della governance digitale e della conformità di Diageo (@diageo_News), afferma che la comunicazione è fondamentale per allineare un'azienda al GDPR.

"Il mio suggerimento, per un'azienda globale come la nostra, è concentrarsi su un coinvolgimento intelligente ed efficace e su comunicazioni su misura con tutte le persone interessate dal GDPR, sia interne sia esterne".

All'interno dell'azienda, Roberts dice che devono essere inclusi inserzionisti, ufficio legale, reparto IT, risorse umane e approvvigionamento, spingendosi fino a tutti i dipendenti a livello globale. Tuttavia, afferma anche che le aziende devono focalizzarsi sulle parti esterne, come agenzie, integratori di sistemi e, soprattutto, enti regolatori, come l'ICO.

Proprietà dei dati Responsabile della conformità dei dati (CCO) Responsabile della sicurezza di informazioni e comunicazione (CISO) Team legali

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond