Categorie
Sicurezza Informatica

6 Consigli per prepararsi al nuovo regolamento generale sulla protezione dei dati

Il Parlamento europeo ha approvato la votazione finale per il nuovo regolamento generale sulla protezione dei dati (GDPR) nel mese di aprile 2016. La legislazione esistente sarà aggiornata per renderlo più rilevante per la tecnologia moderna e al contempo una forte impatto sulle compagnie presenti nell’Unione europea.

Le nuove leggi non saranno applicate almeno fino alla prima metà del 2018 – ma questo è un periodo relativamente breve per le imprese al fine di comprendere le nuove esigenze, valutare le misure di sicurezza e le pratiche esistenti, e diventare  completamente compatibili. Le aziende devono considerare i seguenti passi da compiere per non restare indietro.

Garantire la privacy da progetto

Le preoccupazioni relative alla privacy devono essere parte integrante del progetto.
Le politiche sulla privacy devono essere trasparenti, scritte in un linguaggio chiaro e non ambiguo, ed essere facilmente accessibili.

Assicurati di incorporare il tema privacy nelle prime fasi del processo in qualsiasi nuovo progetto o prodotto che si distribuisce. Anche essere pronti alle richieste dei soggetti che vorranno  esercitare i loro diritti secondo la GDPR, come ad esempio il diritto alla portabilità dei dati e il diritto alla cancellazione.

Se si memorizzano i dati personali, assicurati di avere motivi legittimi per possederli – spetterà a voi  l’onere della prova per dimostrare che le vostre motivazioni sono legittime e prevalgono sugli interessi delle persone interessate. Siate pronti a rispondere a persone che hanno aspettative irrealistiche dei loro diritti. Ricordate, l’implementazione della privacy da progetto è in grado di dimostrare la conformità alle nuove norme e creare un vantaggio competitivo per l’organizzazione.

Analizzare la base giuridica su cui si utilizzano dati personali

Considera che tipo di elaborazione dei dati intraprendi . Ti affidi al consenso della persona, per esempio? Sei in grado di dimostrare di avere un interesse legittimo nel trattamento dei dati che non prevalgono sugli interessi della persona?

Le organizzazioni spesso ritengono di aver bisogno solo di ottenere il consenso delle persone interessate per elaborare i loro dati. Tuttavia, il consenso è solo uno dei diversi modi di legittimare attività di elaborazione e non è il migliore (ad esempio può essere ritirata). Se ci si basa sll’ottenimento del consenso , si raccomanda di verificare se i documenti e le forme di consenso sono adeguate e verificare che il consenso sia  dato liberamente, specifico e informato. Si porta l’onere della prova, se la legittimità del trattamento dei dati viene messa in discussione.

Preparati a violazioni della sicurezza dei dati

Metti in atto politiche chiare e procedure già testate, al fine di garantire una veloce reazione a qualsiasi violazione dei dati e soddisfare i requisiti notifica delle violazioni..

 La protezione dei dati dovrebbe essere una parte fondamentale della filosfia delle imprese dell'UE. Foto: bykst

La protezione dei dati dovrebbe essere una parte fondamentale della filosfia delle imprese dell’UE. Foto: bykst

Stabilire un quadro per la Responsabilità

Assicurarsi di disporre di politiche chiare al fine di dimostrare che si raggiungono gli standard richiesti. Stabilire una cultura del monitoraggio, revisione e valutazione delle vostre procedure di elaborazione dei dati, al fine di ridurre al minimo l’elaborazione dei dati e la conservazione dei dati, e la costruzione di misure di salvaguardia. Verificare che il personale sia preparato e comprenda i propri obblighi. Sarà inoltre necessario condurre valutazioni attendibili dell’impatto sulla privacy   per rivedere eventuali attività di elaborazione dati a rischio e le misure adottate per affrontare i problemi specifici.

Fate attenzione ai trasferimenti di dati Cross-Border

Con i trasferimenti internazionali di dati, compresi i trasferimenti infragruppo,   sarà importante assicurarsi di avere una base legittima per il trasferimento di dati personali a giurisdizioni che l’Unione europea non riconosce come aventi  norme adeguate sulla protezione dei dati.

Questa non è una nuova preoccupazione, ma le conseguenze del mancato rispetto delle nuove norme  potrebbero essere gravi. Il mancato rispetto potrebbe causare una multa fino al 4% del fatturato annuo Si può prendere in considerazione l’adozione di norme aziendali vincolanti per facilitare i trasferimenti infragruppo di dati.

Capire i vostri obblighi come incaricati al trattamento dei dati

Ai fornitori di altre organizzazioni, la GDPR impone alcuni obblighi diretti che avrete bisogno di comprendere  e inserire  nelle vostre politiche, procedure e contratti.

Esamina la documentazione contrattuale e verifica se è adeguata e, per i contratti esistenti, controlla a chi spetterà pagare il costo di  eventuali modifiche ai servizi a seguito delle modifiche di leggi o regolamenti. Se si riceve un servizio di trattamento di dati da parte di terzi, è molto importante determinare e documentare le rispettive responsabilità.

In conclusione

Il 2018 sembra che sia molto lontano, ma in realtà è proprio dietro l’angolo. Il GDPR pone un accento più pesante sulle norme per le compagnie che dovranno garantire una maggior sicurezza sui dati , rispondere rapidamente quando si verifica una violazione dei dati, e rispondere alle esigenze di contenzioso che possono insorgere a seguito di una violazione.

Il tempo  stringe per le organizzazioni per soddisfare le nuove esigenze. Se non è stato già fatto, prendete in considerazione di agire subito per non dover correre ai ripari e rischiare che la vostra compagnia di trovi in difficoltà nel 2018 aall’entrata in vigore delle nuove norme.

Per maggiori informazioni su Nuix, clicca qui.