gdpr e garante della privacy
adv

GDPR e Garante della Privacy, la sicurezza (dei dati), adesso, si gestisce. Questo argomento è stato diffusamente trattato solo negli ultimi mesi, complice anche la complicata situazione politica del paese.

Tuttavia questo regolamento GDPR, ancorché poco conosciuto (e non solo ai cittadini e alle imprese ma anche a molti addetti ai lavori) è una sfida sia per chi dovrà adeguarsi sia per chi, come il Garante, dovrà tentare di far rispettare questo regolamento che, purtroppo, non ha previsto la formazione di un organo di vigilanza e controllo, come invece accade nella Sicurezza dei Lavoratori D.lgs. 81/08, ma lascia ai paesi membri la libertà di organizzazione.

gdpr e garante della privacy

 

Intanto l’impianto sanzionatorio, quello che rende l’opinione pubblica più sensibile  è importante.

Le sanzioni amministrative che vanno a carico di privati e delle aziende possono arrivare fino a 10-mila euro o al 2% del fatturato annuo internazionale, questo per violazioni meno gravi, per arrivare fino a 20 milioni di euro o al 4% del fatturato per violazioni più gravi.

Ma le autorità di controllo hanno anche, in base all’art. 58 del GDPR la possibilità di limitare o vietare il trattamento oggetto di violazione

Ciò potrebbe, infatti, causare ancor più danni che la sanzione stessa, portando ad un danno di immagine o a class-action per interruzione di servizio con conseguenze risarcitorie ben più onerose. Inoltre l’art. 84 prevede che ciascuno stato può prevedere ulteriori misure di sanzioni.

psb consulting gdpr

Gap analysis, data protection by default and by design

Intervenire direttamente sulla organizzazione aziendale prevedendo inizialmente una “gap analisys” che vada e valutare la distanza tra quello che viene fatto per la sicurezza dei dati e quello che si dovrebbe invece fare, garantisce un approccio “data protection by default and by design” (come ci piacciono gli inglesismi!), così come previsto all’art. 25, ossia configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili, perciò un intervento postumo è anziché laborioso anche dispendioso in termini logistici e gestionali: basti pensare alle reti fisiche interne ad una azienda e valutarne la sicurezza ed eventualmente la sostituzione o implementazione ma anche di procedure gestionali…insomma è un lavoro notevole.

il gdpr in america e in europa

Accountability e Assessment

Per fortuna alcuni modelli “comportamentali”(diciamo così), legati o a certificazioni come la ISO 9000 o al d.lgs. 231/01 hanno già da anni innescato una nuova etica aziendale  e definito una Compliance aziendale basata sulla accountability e quindi più semplice da indirizzare verso una politica di sicurezza del dato.

Ci sono anche valutazioni di Risk assessment che vanno eseguiti e che comportano non pochi difficoltà sia per intercettare le procedure a rischio che altre peculiarità del sistema…

ma questa è un’altra storia!