GDPR – una volta implementato, tutto a posto?

Fotografia: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Se anche tu hai adeguato la tua azienda ai requisiti del GDPR più o meno puntualmente, allora adesso va tutto bene, vero? Purtroppo, non è così. I principali cambiamenti sono stati sicuramente poco comprensibili, estenuanti o, per alcune aziende, difficili o fastidiosi da implementare e dispendiosi in termini di tempo. Tuttavia, si tratta di un requisito di legge che non può essere evitato. E, anche dopo aver curato con successo l’implementazione, non si si può ancora riposare e occorre restare attenti. Perché è così e a che cosa devi stare attento te lo spieghiamo di seguito. Non pensare che, se hai il GDPR implementato correttamente, per sempre rimarrà tutto cosi e tu possa dormire sogni tranquilli.

La privacy deve essere costantemente aggiornata

Quando hai superato le prime implementazioni e adeguamenti sei, per un certo lasso di tempo, al sicuro. Tuttavia, la tua azienda cresce e, con l’aumentare delle dimensioni, anche i requisiti del GDPR diventano più complessi. Devono essere presi in considerazione più dati di clienti e fornitori, e forse ti occorrono nuovi processi o più collaboratori che se ne occuperanno .

Inoltre, la tecnologia è in continua evoluzione. Perciò, occorre continuamente adeguare i tuoi sistemi IT e i software, si aggiungono nuovi pc o server e, naturalmente, programmi anti-virus sempre aggiornati e misure per colmare eventuali buchi nella sicurezza.

Dovevi già tenere presente tutto questo nella prima implementazione del GDPR o, almeno, organizzarne immediatamente l’adeguamento.  Perciò sei stato consigliato bene se, sin da subito, collabori con un’azienda professionale che si è specializzata nel settore. Infatti, solo un esperto ti può consigliare continuamente e indicare, in tempo utile, i necessari adeguamenti, implementandoli insieme a te.

Contesto dell’adeguamento: articolo 25 GDPR

Il motivo per cui devi sempre essere aggiornato è, ovviamente, che soltanto in questo modo puoi lavorare con efficacia. Inoltre, ciò è espressamente previsto nel GDPR, nell’articolo 25. L’articolo tratta la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

L’Articolo richiede, tra l‘altro, di “tenere conto dello stato dell’arte” affinché il Regolamento possa essere attuato in modo efficace per proteggere gli interessati e soddisfare i requisiti del GDPR.

Ovviamente, lo stato della tecnica sta cambiando nel tempo e, quindi, la tecnologia della tua azienda deve adattarsi costantemente allo stato attuale con nuovi sistemi adeguati o nuovi software e aggiornamenti.

Anche l’organizzazione deve essere adeguata

Infatti, l’articolo afferma anche che, oltre alla tecnologia, devono essere prese “misure tecniche e organizzative adeguate sia al momento di determinare i mezzi del trattamento che al momento dell’effettiva elaborazione”. 

Ecco perché, se necessario, devi cambiare e adattare i tuoi processi o riqualificare i tuoi dipendenti. Non solo il rinnovo del tuo sistema informatico, ma anche i processi di elaborazione e la conoscenza dei dipendenti giocano un ruolo fondamentale nel valutare se la protezione dei dati viene regolarmente osservata.  

L‘articolo 25 GDPR richiede, pertanto, che si adottino continuamente le misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento.  

Quali misure di adattamento sono prescritte?

La legge, sfortunatamente, non menziona quali misure devi prendere. Tuttavia, nel “considerando 78 – misure tecniche e organizzative adeguate” almeno puoi trovare degli esempi. Specificamente menzionata è la pseudonimizzazione, che è anche precisata nell’articolo 4 del GDPR.

Nel considerando 78 è riferito che i responsabili devono prestare particolare attenzione ai principi di “Protezione dei dati per progettazione (data protection by design)” e “Protezione dei dati per impostazione predefinita (data protection by default)”.

Di che cosa si tratta precisamente?

Protezione dei dati by design and by default

Data Protection by design – Protezione dati attraverso la progettazione tecnologica

La protezione dei dati attraverso la progettazione della tecnologia significa che può essere meglio soddisfatta se è già tecnicamente integrata sin dall’inizio (ovvero nel momento della introduzione del GDPR). Quindi devi considerare e pianificare le misure già durante lo sviluppo del tuo concetto di protezione dei dati. Anche in questo ti può aiutare un’azienda specializzata come WB Trade-it e supportarti nella realizzazione, poiché ha l’esperienza necessaria nel settore che, probabilmente, all’inizio ti mancherà.

Data Protection by default

La protezione dei dati con impostazioni predefinite favorevoli alla privacy significa che le impostazioni di base (o le impostazioni IT di fabbrica) sono già molto intuitive, ovvero preparate e progettate in modo facilmente comprensibile. Vale a dire che tutti gli utenti, che sono tecnicamente esperti, dovrebbero essere in grado di effettuare facilmente le impostazioni necessarie.

Quindi quali misure puoi prendere?

Poiché la legislatura ti lascia all’oscuro su che cosa devi fare esattamente, faresti bene ad affidarti all’esperienza e ai consigli di aziende del settore. Il fatto che il legislatore ti lasci un margine per l’esecuzione delle misure è anche un vantaggio. Perché ogni azienda ha il proprio backround individuale. E, ad esempio, come piccola impresa devi prendere misure di sicurezza diverse da quelle di una grande società diversificata.

Il considerando 78 propone per esempio:

  • Pseudonimizzazione di dati personali
  • Offrire Trasparenza per quanto riguarda le funzioni e il trattamento di dati personali
  • Che gli sviluppatori di prodotti utilizzati nel trattamento dei dati personali tengano già conto dello stato dell’arte, in modo che gli utenti successivi possano adempire ai loro obblighi di protezione dei dati
  • Negli appalti pubblichi si dovrebbe prestare attenzione ai principi della protezione dei dati attraverso la tecnologia e le impostazioni predefinite compatibili con la privacy.

 Ulteriori possibili misure

Le altre opzioni possono dipendere dalla tua situazione individuale, ma puoi comunque già pensare a quanto segue:

  • Oltre alla pseudonimizzazione proposta, effettua comunque un’ulteriore anonimizzazione dei dati.
  • Quando acquisti il Software, assicurati che il produttore e lo sviluppatore abbiano già preso in considerazione le tue esigenze, come suggerito nel considerando 78.
  • Introduci l’autenticazione dell‘utente.
  • Progetta e attua tecnicamente il diritto di opposizione ai sensi dell‘art. 21 GDPR.
  • Utilizza i suggerimenti aggiuntivi di altri standard, come per esempio il catalogo di protezione del Bundesamt für Sicherheit in der Informationstechnologie (BSI) oppure quelli dei vari standard ISO.

Tra tutte le misure proposte è necessario considerare anche che l’articolo 25 del GDPR richiede che si considerino i costi di implementazione, la natura, l’ambito, le circostanze e le finalità. È necessario impostarli in relazione ai possibili rischi e alla loro gravità e probabilità di accadimento e quindi determinare appropriate misure.

La valutazione del rischio è una parte molto importante del concetto di protezione dei dati, soprattutto perché l’errata previsione può comportare azioni sbagliate che, alla fine, non possono fornire una protezione adeguata.

Pertanto, siamo lieti di assisterti con il nostro consolidato know-how, competenza e esperienza nel settore. Contattaci per concordare un appuntamento per una prima consulenza.  

Fotografia: Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0