Che questo fosse il tempo in cui i dati sensibili sono un tesoro la cui protezione può rappresentare un valore aggiunto per l’azienda che li possiede, è un dato di fatto. Ancora di più da quando è stato approvato il regolamento europeo 2016/679 conosciuto anche con l’acronimo GDPR (General Data Protection Regulation, applicabile dal 25 maggio 2018) e le aziende hanno dovuto scontrarsi con la prospettiva di affrontare cambiamenti numerosi e complessi.
Comuni, ormai, sulle pagine di cronaca gli attacchi subiti da grandi aziende le quali devono tenere conto di trattamento e protezione di grandi quantità di dati per mandare avanti il proprio core business. L’ultimo caso riguarda Uber, la società statunitense che gestisce l’app per prenotare automobili con autista: l’anno scorso avrebbe subito un attacco informatico sul database contenente i dati di 57 milioni di utenti e 600mila conducenti.
Fatti di non poca gravità, e che per questo motivo hanno spinto l’Unione Europea a redigere un regolamento a proposito.
Le aziende, a questo punto, si trovano a dover fare i conti con la propria organizzazione interna. Ma come si può capire la misura nella quale si rispetta già la GDPR? Come venire a conoscenza di eventuali mancanze?
Un primo passo, magari avvalendosi della consulenza di un esperto in materia, può essere quello di:
- censire i trattamenti e le componenti essenziali;
- effettuare una ricognizione degli adempimenti dei singoli e delle misure tecnico-organizzative adottate.
Queste due pratiche possono aiutare a comprendere l’attuale conformità alla norma, ovvero cosa risponde ai parametri GDPR (stato d’arte) e cosa, invece, no, attraverso un’accurata valutazione delle carenze interne. Tutto ciò, quanto meno, per stilare una precisa valutazione sul tasso di priorità dell’intervento e la sua tempistica.
L’ulteriore domanda alla quale si risponderà, sarà: quanto è valido il progetto azienda? Si esaminino, quindi, i dipendenti, il budget, l’interdipendenza delle attività, i risultati e come facilitare l’assimilazione di questi ultimi da parte del tessuto aziendale interno.
Si faccia tutto il possibile per evitare, o quanto meno smorzare, il contraccolpo dovuto non solo all’entrata in vigore della nuova normativa, ma anche al suo rapporto con le direttive correnti. Per le norme GDPR, infatti, vige il principio per cui l’atto è soggetto alla norma vigente al momento in cui è stato compiuto. Un esempio può essere l’obbligo di notificazione preventiva al Garante: se tale notifica è obbligatoria ora ma non lo sarà più una volta entrata in vigore la GDPR, la mancanza non sarà sanata per il periodo in cui la stessa notificazione era obbligatoria.
Occorrono, quindi, due passi di messa in pari: 1) alla norma vigente, 2) alla GDPR. Solo così l’azienda sarà pronta.
Commento