La normativa GDPR (General Data Protection Regulation) è in vigore da circa due anni ed è diventata attuativa il 25 maggio 2018; le aziende hanno avuto un biennio per intraprendere i passi necessari per arrivare preparati al giorno in cui è scattato l’obbligo di compliance: “Da questo momento – sottolinea Michele Onorato, Security Office Manager del system integrator Hitachi Systems CBT – la principale novità è che la non compliance diventa sanzionabile”.
Who's Who
Michele Onorato
Con Onorato facciamo il punto sulle principali novità introdotte dal GDPR in relazione al modo in cui Hitachi Systems CBT si propone di aiutare le aziende di ogni tipo e dei più diversi settori a ottemperare alla General Data Protection Regulation sia per quanto riguarda dati, sistemi e processi attuali, sia nell’attuazione della digital transformation.
Registro Trattamento Dati
“Rispetto alle preesistenti normative sulla privacy – spiega Onorato -, il GDPR ha respiro europeo. Di innovativo introduce l’obbligo di avere un sistema di gestione dei dati della privacy, che prevede innanzitutto l’istituzione di un Registro del Trattamento dei dati. Un altro aspetto rilevante è il diritto all’oblio: le aziende devono quindi essere in grado di garantire, a chi ne facesse richiesta, la cancellazione delle informazioni personali memorizzate in modo digitale o cartaceo. Già da queste novità si deduce la necessità, per le imprese, di sapere quali sono i dati personali in loro possesso, dove si trovano e come sono trattati”.
Questo passaggio implica l’adozione di processi per il trattamento dei dati, dalla creazione alla cancellazione, e l’utilizzo di strumenti tecnologici per governare la gestione delle informazioni digitali. Per aiutare le aziende in queste prime fasi di privacy compliance, fra i servizi offerti da Hitachi Systems CBT si segnalano la Gap Analysis e il supporto alla realizzazione del Registro Trattamento Dati e delle informative per la raccolta del consenso al trattamento dei dati personali”.
Prevenzione dei data breach e privacy by design
“Altri aspetti rilevanti del GDPR sono l’obbligo di adottare ‘misure adeguate’, e non più solo ‘minime’ – fa notare Onorato – per prevenire la violazione dei dati, ovvero i data breach, e quello di comunicare le violazioni entro 72 ore”. Per aiutare le aziende anche sotto questi profili, Hitachi Systems CBT mette in campo servizi per la valutazione d’impatto della protezione dei dati (il DPIA, Data Protection Impact Assessment), ossia l’analisi dei rischi connessi a ciascun tipo di trattamento, e per l’adozione di approcci di privacy by design (o privacy by default) previsti dal GDPR nello sviluppo di nuovi servizi o applicazioni.
Competenze e formazione
Hitachi Systems CBT non si ferma qui, offrendo una serie di altri servizi, tra i quali quelli che riguardano la formazione degli utenti e l’istituzione della figura, laddove prevista, del Data Protection Officer. Nei casi in cui non è richiesto un DPO interno, la stessa Hitachi Systems CBT può proporsi per questo ruolo.
