Di seguito 5 punti da cui partire per affrontare al meglio i cambiamenti introdotti dal GDPR e non farsi cogliere impreparati (o meglio, evitare di essere sanzionati per milioni di euro!)

1. Consapevolezza
E’ utile effettuare uno “screening” dell’azienda, in modo da identificare eventuali vulnerabilità e fragilità dei sistemi (sia interni che esterni). Lo scopo di questa indagine è quello di ottenere la piena consapevolezza dei rischi a cui l’impresa è esposta così da agevolare il processo di protezione dei dati e di adattamento alla nuova normativa.

2. Mappatura dei dati
“You cannot protect what you don’t know about”. La conoscenza dei dati è alla base del GDPR e la protezione di quelli personali lo scopo principale del regolamento. E’ pertanto necessario identificare e classificare i dati sensibili per poter creare una buona mappatura. Per dati sensibili s’intendono tutte le informazioni che, o a livello del singolo dato o a livello di un insieme di informazioni, rendono una persona identificabile.

3. Monitoraggio
Ogni individuo ha il pieno diritto di richiedere alle aziende di tracciare, modificare, cancellare o trasferire i suoi dati personali. In questo senso, l’attività di monitoraggio è fondamentale, in quanto le sanzioni più severe sono relative proprio alla violazioni dei diritti delle persone, come la mancata risposta o un ritardo nel fornire le informazioni richieste dal cittadino, che può reclamare in questo caso anche un risarcimento in denaro. Le imprese hanno perciò bisogno di strumenti adeguati per dimostrare la rapidità di processamento delle richieste.

4. Sicurezza
Il livello di protezione richiesto dal GDPR è molto più alto rispetto a quello della normativa italiana corrente. Le aziende devono dotarsi di misure specifiche atte a garantire la sicurezza dei dati, facendo particolare attenzione ai rischi presentati dal trattamento dei dati riguardo a modifica, perdita, distruzione e divulgazione non autorizzata dei dati personali. Nello specifico, tra le misure di protezione vi sono:
– pseudonimizzazione e cifratura dei dati sensibili
– capacità di ripristinare rapidamente l’accesso ai dati in caso di incidenti
– procedure per verificare l’efficacia delle misure tecniche di sicurezza adottate.
Viene inoltre introdotto il principio “Data Protection by Design” che obbliga a verificare da un lato, che gli strumenti informatici possano garantire il corretto livello di protezione, e dall’altro, la totale assenza di vulnerabilità di tali sistemi, già in fase di progettazione.

5. Notifica
Le violazioni dei dati personali devono essere segnalate in modo tempestivo all’autorità di vigilanza, entro e non oltre 72 ore dall’avvenimento, comunicando la descrizione della violazione, il tipo di dati interessati, le probabili conseguenze e le misure adottate per porre rimedio e attenuare gli effetti negativi.