GDPR e Security, istruzioni per l’uso: il punto di vista di Assintel
Assintel Report 2018 - Approfondimento di pag. 103
|
Cos’è il GDPR
Il Regolamento Europeo sulla Protezione dei Dati (GDPR – General Data Protection Regulation) è il nuovo punto di riferimento normativo per il trattamento e la gestione dei dati dei cittadini europei. Obbliga le organizzazioni ad assumersi maggiori responsabilità sui dati raccolti dei propri utenti e a compiere ogni sforzo possibile per proteggerli. Risponde alla crescente pervasività della dimensione digitale che è sempre più data-driven e alla crescita esponenziale delle cyber minacce. Le aziende dovranno quindi dimostrare di essere conformi alle richieste, segnalare ogni violazione di dati ed eventualmente pagare pensati sanzioni, che possono arrivare fino al 4% del fatturato annuo globale.
Quando entra in vigore?
La norma è già in vigore e dal 25 maggio 2018 potranno essere applicate le prime sanzioni: nonostante ciò, la maggior parte delle aziende, soprattutto di dimensioni micro e piccole, sono tuttora impreparate o addirittura all’oscuro dei nuovi obblighi.
Come adeguarsi: i Codici di Condotta
Le aziende stanno attendendo la presentazione e l’approvazione, da parte dell’Autorità Garante sulla Protezione dei Dati Personali italiana, dei Codici di Condotta legati alle singole industry, nel rispetto dell’art. 40 e 41 del General Data Protection Regulation 679/2016, che costituiranno il principale strumento attraverso cui le imprese di ogni categoria potranno capire come adempiere al GDPR correttamente. Il passaggio è importante: ogni codice costituisce l’implementazione specifica del regolamento, aderirvi significherà poter accedere ad una certificazione da parte di un Ente Certificatore, che costituirà in sede giudiziaria una delle comprove per l’adempimento al GDPR.
Assintel ha già presentato al Garante lo scorso 8 settembre 2017 il primo Codice di Condotta rivolto all’ICT, unica nelle associazioni del settore. In questo modo, una volta approvato, le aziende ICT associate ad Assintel potranno aderirvi ed ottenere la certificazione che rappresenta in sede giudiziaria una delle comprove per l’adempimento al GDPR.
Le nuove Linee Guida per adempiere al GDPR rivolte alle aziende ICT
In attesa dell’approvazione del Codice di Condotta da parte dell’Autorità Garante, Assintel mette a disposizione le “Linee guida per le aziende ICT per adempiere al GDPR” così da poter supportare fin da subito le aziende ICT nel percorso di implementazione degli adempimenti. A suo completamento, l’associazione ha anche siglato l’accordo con due importanti enti di certificazione che, in convenzione, si occuperanno di monitorare l’adozione del Codice di Condotta Assintel certificando le aziende che l’avranno fatto in modo completo e corretto.
Come scegliere un DPO?
Infine, Assintel ha pensato anche alla figura del Data Protection Officer (DPO), obbligatoria (art. 37) in alcune ben specifiche casistiche:
a) se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
L’associazione ha designato un “comitato scientifico”, esterno ad Assintel, che selezionasse delle aziende socie candidate per svolgere il ruolo di DPO – con tariffe molto vantaggiose - per le altre aziende associate.
Risorse per i Soci
- Codice di Condotta per le aziende ICT (sarà pubblicato non appena approvato formalmente dal Garante)
- Linee guida per le aziende ICT per adempiere al GDPR (a breve sarà possibile il download solo per i Soci)
- Vademecum Sicurezza Informatica per le PMI
- Il Gruppo di lavoro Sicurezza informatica e le sue iniziative