Mancano meno di 12 mesi al D-Day del GDPR. Il25 maggio 2018 introdurrà nuove strutture robuste per tutte le aziende che elaborano informazioni personali identificabili su chiunque sia un cittadino dell'UE.
Le multe per una violazione del GDPR di 20 milioni di euro o il 4% del fatturato annuale globale sono state ampiamente documentate. Questo è stato ulteriormente rafforzato da una recente analisi della società di consulenza di gestione globale Oliver Wyman che ha scoperto che le aziende FTSE 100 potrebbero affrontare multe fino a 5 miliardi di sterline all'anno se non si conformano al nuovo regolamento.
Il GDPR va oltre il regno del semplice spuntare le caselle e sperare per il meglio. È imperativo che ogni azienda faccia bene, e la chiave per questo è la responsabilità.
La necessità di responsabilità nella privacy dei dati può essere fatta risalire al 1980 nelle linee guida sulla privacy emesse allora dall'Economic Cooperation and Development (OECD) che descriveva la responsabilità come "mostrare come viene esercitata la responsabilità e renderla verificabile". Questa definizione si presta anche a come sarà in pratica il GDPR. Il GDPR cerca di rafforzare la responsabilità dei controllori e dei responsabili del trattamento dei dati in relazione al trattamento dei dati personali.
Le misure che le organizzazioni devono mettere in atto includono processi documentati, valutazioni di impatto sulla protezione dei dati e una metodologia di sicurezza dei dati. Devono anche nominare un responsabile della protezione dei dati obbligatorio per qualsiasi trattamento di dati personali su larga scala, e garantire la conservazione di registri aggiornati sulle attività di trattamento.
La responsabilità è alla base del lancio del GDPR
Il Garante europeo della protezione dei dati (GEPD), nella sua scheda informativa sulla responsabilità, afferma che la responsabilità nel trattamento dei dati personali richiede:
- Politiche interne di protezione dei dati trasparenti, approvate e sostenute dal più alto livello di gestione dell'organizzazione.
- Informare e formare tutte le persone nell'organizzazione su come implementare le politiche.
- Responsabilità al più alto livello per il monitoraggio dell'attuazione della politica, valutando e dimostrando agli stakeholder esterni e alle autorità di protezione dei dati la qualità dell'attuazione.
- Procedure per rimediare alla scarsa conformità e alle violazioni dei dati.
Anche se la parola responsabilità appare raramente nel GDPR, il concetto centrale di responsabilità è alla base di tutto il GDPR.
- Articolo 5: Identifica il controllore dei dati come la persona responsabile di garantire il rispetto dei principi del GDPR che circondano il trattamento dei dati personali Oltre a garantire il rispetto dei principi del GDPR, il controllore dei dati deve provarlo attraverso una serie di procedure che rendono la regolamentazione dei dati una pratica verificabile.
- Articolo 24: Dichiara che il responsabile del trattamento dei dati deve implementare, rivedere e aggiornare i processi organizzativi per dimostrare che le operazioni di trattamento sono eseguite secondo le nuove regole.
- Articolo 39: Dichiara che spetta al responsabile della protezione dei dati "controllare il rispetto del presente regolamento, delle altre disposizioni dell'Unione o degli Stati membri in materia di protezione dei dati e delle politiche del responsabile del trattamento o dell'incaricato del trattamento in materia di protezione dei dati personali, compresa l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, nonché le relative revisioni".
Le aziende devono dimostrare che sono adeguatamente conformi, il che include la pratica e l'applicazione delle politiche e delle procedure delineate dal GDPR. Spetta alle imprese costruire un quadro su cui si possa stabilire una cultura della privacy.
Questo significa un vero cambiamento nella cultura di un'organizzazione. La responsabilità non è qualcosa che può essere un ripensamento della vostra preparazione al GDPR, piuttosto deve essere al centro del vostro piano GDPR ora, a maggio 2018 e per sempre.
Le multe GDPR non accadono solo quando si verifica un enorme attacco informatico o un evento, ma colpiranno duramente ogni volta che si scopre che non c'è una valutazione di impatto sulla protezione dei dati, una mancanza di responsabili della protezione dei dati in un'organizzazione e un'incapacità di mettere in atto un ciclo di vita GDPR end-to-end. Anche un solo pezzo del puzzle mancante potrebbe costare alle aziende enormi somme di denaro.
Il GDPR richiede alle organizzazioni di essere conformi al nuovo regolamento, ma offre anche l'opportunità di migliorare il vostro business impegnandosi nell'uso etico dei dati personali. È possibile utilizzare questo onere di responsabilità per presentare la vostra organizzazione come un bastione dei diritti di privacy individuale, che può giocare una parte integrante nel fatto che qualcuno scelga la vostra azienda piuttosto che un concorrente.
Il momento di agire sul GDPR è ora, ma è importante ricordare che qualsiasi piano che mettete in atto deve avere la responsabilità come componente centrale per permettervi di essere conformi a maggio 2018 e a prova di futuro della vostra organizzazione per gli anni a venire.