Come prepararsi al RGPD

Tutte le aziende che raccolgono, trattano e processano i dati personali di persone residenti nell’Unione Europea devono conformarsi al nuovo Regolamento generale sulla protezione dei dati (RGPD, detto anche GDPR).

Per tutte le aziende che non hanno ancora ultimato il processo di conformità, ecco una lista di punti necessari per prepararsi alla nuova norma. Se seguiti passo per passo, la conformità sarà a portata di mano!

1. Stabilire una struttura di responsabilità e governance

Il primo passo necessario è ottenere il supporto dalla direzione e nominare un amministratore che fungerà da responsabile per il RGPD in azienda. Al quadro di controllo interno ed alla gestione dei rischi aziendali va poi aggiunto il rischio relativo alla protezione dei dati.

2. Esaminare e pianificare il progetto

In questa fase è necessario nominare e formare un project manager, e se necessario, un responsabile della protezione dei dati (DPO o RPD). Si devono poi identificare tutte le entità aziendali da esaminare (uffici, sedi, etc). È utile identificare anche gli altri Standard o sistemi di gestione che potrebbero fornire un quadro per la conformità, come l’ISO 27001 che dimostra la messa in opera delle best-practice in materia di sicurezza informatica.

3. Condurre controlli all’inventario e al flusso di dati

Si devono identificare le tipologie di dati che l’azienda detiene, da dove provengono e la base legale che permette la loro elaborazione e trattamento. La mappatura del flusso dei dati in entrata/uscita/all’interno dell’azienda permetterà di identificare i rischi nelle attività di elaborazione dei dati. Se necessario, si dovrà condurre una valutazione d’impatto sulla protezione dei dati (DPIA).

4. Analisi dettagliata del gap

L’analisi del gap verificherà la posizione corrente rispetto ai requisiti del RGPD e identificherà le lacune che richiedono rimedio.

5. Sviluppare politiche, procedure e processi operativi

Con le informazioni raccolte dall’analisi del flusso dei dati e dall’analisi del gap, sarà necessario creare la documentazione dell’Articolo 30. Tutte le politiche di protezione dei dati e le informative sulla privacy dovranno essere in linea con il RGPD, e dovrebbero essere messe in atto policy e procedure per rilevare, segnalare e indagare una possibile violazione dei dati.

6. Proteggere i dati personali attuando misure procedurali e tecniche

A questo punto, avere una policy di sicurezza informatica è di vitale importanza, come anche controlli tecnici di base (quelli specificati da Cyber Essentials, per esempio) per garantire la sicurezza dei dati.

7. Comunicazione

Conformarsi al RGPD rappresenta un grande cambiamento interno. Di conseguenza, una chiara e precisa comunicazione interna non porterà che benefici all’intero progetto. In particolare, tutti i membri del personale dovranno essere informati dei cambiamenti apportati dal RGPD e come questo impatta sulle loro attività quotidiane.

8. Monitorare e controllare la conformità

I controlli di sicurezza e le attività di elaborazione dei dati dovranno essere controllati periodicamente per mantenere conformità ai requisiti della Norma.

Puoi trovare la lista di controllo in maggiore dettaglio qua.

C’è ancora tempo per conformarsi al RGPD.
Inizia ora!

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.