Le piccole e medie imprese italiane sono pronte per il GDPR 2016/679, General Data Protection Regulation, ovvero il nuovo Regolamento Europeo Privacy? Secondo una ricerca commissionata da Microsoft a IDC, il 43% delle PMI italiane, con almeno 10 dipendenti, non era in regola con la nuova normativa.
Il GDPR 2016/679, o Regolamento Europeo sulla Privacy, entrerà ufficialmente in vigore anche in Italia il 25 maggio 2018. Avevamo già trattato della nuova normativa europea in un post dello scorso anno. L’applicazione del General Data Protection Regulation non costituisce l’ennesimo adempimento da mettere sullo scaffale, quanto piuttosto una seria iniziativa per tutelare utenti e aziende nel trattamento dei dati personali.
Se da un lato l’utente è direttamente coinvolto e responsabilizzato nella gestione dei propri dati personali, dall’altro il Regolamento Europeo Privacy rappresenta un’arma di difesa anche per l’azienda, soprattutto contro gli attacchi cyber.
L’industria 4.0 è una bell’iniziativa ma quanti sanno che il cyber risk passa anche dalle stampanti 3D? Siamo pronti a mettere in sicurezza gli strumenti aziendali “intelligenti”? I nostri dipendenti sanno riconoscere allegati e-mail maligni? Ricordiamo che sull’attività di formazione sulla cybersecurity c’è un credito di imposta del 140%.
GDPR 2016/679: fai il test per capire se la tua azienda è a norma
Il General Data Protection Regulation riguarda tutte le aziende italiane: per questo abbiamo creato un test che permette a ciascuna realtà, piccola o grande, di capire se è pronta ad attuare il nuovo Regolamento Europeo sulla Privacy.
Poniamo, infatti, il caso-base di una PMI con archivi classici come anagrafica clienti, anagrafica dipendenti, anagrafica fornitori, corrispondenza, contabilità, amministrazione, gestione risorse umane, gestione commerciale, gestione strumenti elettronici (pc, server, cloud server, dispositivi mobili aziendali, cellulari aziendali, rete aziendale), sito web e social media.
Secondo il GDRP 2016/679, questo tipo di azienda non sarebbe obbligata a tenere un “Registro dei Trattamenti”; non sarebbe obbligata neppure a redigere la “Data Privacy Impact Assessment” o nominare il Data Privacy Officer (DPO). Tuttavia – in caso di ispezione – come dimostra che ha attivato delle iniziative per essere in linea con il Regolamento UE?
Come si può dedurre, la normativa del General Data Protection Regulation è molto articolata: sarebbe quindi consigliabile adottare sempre il Registro dei trattamenti per avere traccia e consapevolezza di come vengono conservati i dati, così come nominare un Data Privacy Officer ovvero l’esperto di privacy che fornisce consulenza in materia di adeguamento alla nuova disciplina privacy europea.
Test del GDPR 2016/679: ecco le domande alle quali rispondere
Il seguente test costituisce uno stimolo a sviluppare maggiormente la consapevolezza di quale sia la situazione della propria azienda dal punto di vista del rischio privacy nei confronti del GDRP 2016/679.
Provate a rispondere alle seguenti domande:
- Avete il Registro dei trattamenti?
- Avete la Cookies Policy?
- Avete un’Informativa privacy Clienti?
- Avete un’Informativa privacy Dipendenti e relativa lettera incarico Ruolo privacy di Addetto o di Responsabile interno?
- Avete una lettera di incarico specifica per l’Amministratore di Sistema interno dei vostri dispositivi e sistemi informatici?
- Avete un’Informativa Privacy Fornitori e relativo Accordo privacy con il Responsabile esterno?
- Avete un Accordo privacy con il vostro fornitore di server o di servizi cloud? Avete verificato se è certificato ai fini del GDPR?
- Siete un fornitore? Avete un Registro trattamenti per ogni vostro cliente?
- Avete un’Informativa Privacy Utenti per il sito web?
- Avete un’Informativa Privacy Utenti per la pagina aziendale sui social media?
- Avete acquisito il Consenso privacy di tutti i soggetti sopra indicati? (N.B. non è detto che con il GDPR 2016/679 le Autorizzazioni Generali del Garante Privacy di deroga siano ancora valide).
- Avete acquisito la Prova dell’avvenuto Consenso Privacy registrata in apposito elenco tracciato con i file di log (Registro Consensi Privacy)?
- Avete acquisito i Consensi con flag multipli e separati?
- Informate i vostri interessati sui tempi di conservazione dei loro dati?
- Informate i vostri interessati su eventuali tecniche di profilazione?
- Fornite la possibilità ai vostri interessati di trasferire con facilità i loro dati ad altra azienda (portabilità)?
- Avete un Sistema di Gestione della Sicurezza Informatica (SGSI) ISO/IEC 27001 già fatto per la Sicurezza in azienda? Potrebbe costituire una valida parte del Piano Misure Sicurezza della Privacy Policy.
- Avete dei sistemi informatici ad utilizzo minimo dati o cosiddetti privacy by design?
- Utilizzate la crittografia o l’anonimizzazione dei dati sensibili?
- Avete fatto in azienda almeno un corso di formazione per prepararsi al GDPR 2016/679?
- Avete previsto dei controlli interni (Audit) per verificare lo stato di applicazione della privacy?
- Avete una procedura interna di segnalazione dei Data Breach? Quanto tempo occorre agli addetti per la segnalazione e quanto tempo per il primo intervento?
Se hai risposto no, rivolgiti ad un Esperto Privacy!
Se avete risposto no anche solo ad una delle domande del test sul GDPR, sarebbe opportuno rivolgervi ad un Esperto qualificato sulla privacy.
Questa figura svolgerà infatti un’analisi approfondita della situazione della vostra azienda per verificare se siete effettivamente in regola o meno per l’entrata in vigore del nuovo Regolamento Europeo sulla Privacy.
Lo Studio Legale Deborah Bianchi offre consulenze personalizzate sul GDPR 2016/679 ad aziende, PMI e privati: è possibile richiedere un preventivo gratuito, compilando l’apposita form.