Il Regolamento Generale per la Protezione dei Dati – il GDPR – richiede a tutte le aziende, in qualità di titolari, di effettuare il trattamento dei dati personali in maniera conforme a numerosi requisiti.
Come si fa?
Mettendo in atto una serie di misure tecniche e organizzative “adeguate”, come richiesto dall’articolo 24 del GDPR stesso. Proprio dietro l’aggettivo “adeguate” si nasconde il principio dell’accountability alla base della normativa. Tale “adeguatezza” non solo è funzionale al titolare del trattamento come responsabilizzazione verso la conformità, ma deve anche essere dimostrabile e quindi documentata.
Cosa significa?
All’atto pratico, questo vuol dire che ogni azienda deve essere in grado, qualora richiesto, di presentare la documentazione che attesti l’adeguatezza delle misure tecniche e organizzative adottate. È così che tecnicismi come “cifratura dei dati”, “meccanismo di autenticazione” o “resilienza dei sistemi” diventano punti di incontro tra i requisiti della normativa e le caratteristiche dei prodotti cloud utili a rispondere ai requisiti stessi.
Chi è coinvolto?
Tutte, o quasi, le funzioni aziendali, seppure in misura e maniera diversa, sono interessate dal GDPR. Nella maggior parte dei casi si tratta di un approccio differente e più orientato al rispetto della privacy dell’attività lavorativa. Se prendiamo l’azienda nel suo complesso, il GDPR diventa un ripensamento dei processi secondo un approccio basato sul rischio, che richiede una mappatura dei dati personali e delle relative tipologie di trattamento. In questa ottica assume un ruolo di indirizzo e consulenza una nuova figura introdotta dalla normativa: il Data Protection Officer (DPO). Il DPO sorveglia l’osservanza del GDPR ed è la figura che con maggiore attenzione guarda all’utilizzo di soluzioni cloud come backup, disaster recovery o business continuity quali strumenti per supportare (e documentare) la conformità aziendale alla normativa.
Quali sono i vantaggi?
La misure richieste dalla normativa spingono le aziende verso una corretta gestione (sia logica che tecnica) dei dati personali. L’attenzione alla privacy e alla sicurezza del processo diventano così strategiche, spingendo aziende che prima trascuravano questi aspetti a seguire le best practice di settore. L’applicazione delle disposizioni del GDPR rappresentano quindi per le aziende non solo un nuovo testo normativo da rispettare per non incorrere in pesanti sanzioni, ma anche un’opportunità per aggiornare meccanismi di lavoro obsoleti e, soprattutto, poco sicuri.