Scritto da Ivana Basaric
Il nuovo Regolamento europeo sulla Privacy (Regolamento Generale sulla Protezione dei Dati - GDPR) in vigore dal 24.05.2016, sarà applicabile dal 25.05.2018. Ogni azienda deve procedere ad un’analisi del proprio contesto operativo mappando i processi interni ed esternalizzati che impattano sul trattamento dei dati. In questo processo di autoanalisi rientrano anche tutte le procedure IT, ma che cosa succede se le aziende si affidano ad un’azienda esterna per questi servizi?
Ne abbiamo parlato con la nostra esperta Elena Bertolin Legal Affairs & Compliance Manager di Elmec Informatica.
Cosa prevede il nuovo regolamento GDPR? Cosa fare per mettersi in regola?
Il cambiamento fondamentale, introdotto da questo regolamento, riguarda l’approccio alla protezione dei dati personali. Se con la normativa precedente, la protezione dei dati era percepita come un semplice adempimento burocratico, oggi diventa un vero e proprio processo aziendale che comporta la responsabilizzazione dell’azienda. Il regolamento migliora la nostra conoscenza e la tutela dei dati delle persone fisiche ad esempio, nell’obbligo di dichiarare per quanto tempo sono conservati o le procedure per ottenere il diritto all’oblio. Questo regolamento colpisce in particolare per l’impianto sanzionatorio molto gravoso per le aziende, anche se il rischio maggiore rimane il danno d’immagine.
Elmec è un fornitore di servizi informatici, le aziende quando la scelgono questo partner, affidano di fatto la gestione dei propri dati ad Elmec, cosa ha fatto l’azienda per adeguarsi al GDPR?
Dal 2017 in azienda abbiamo due gruppi dedicati: il team GDPR e il SOC (team Security). Abbiamo migliorato le policy di sicurezza tramite il patching dei sistemi Elmec e quelli dei clienti, abbiamo la possibilità di rilevare le minacce e prevenirle e infine cerchiamo di fare formazione continua su questo argomento.
La gestione delle infrastrutture IT rientra nel processo di autoanalisi delle aziende. Elmec cosa sta facendo come fornitore di sevizi IT per i propri clienti?
Abbiamo deciso di dare precedenza alla creazione di documentazione tecnica e contrattuale che permettesse ai nostri clienti di dimostrare di avere adottato le misure tecniche ed organizzative adeguate, come richiesto dal GDPR, con il supporto di un importante studio di consulenza specializzato in ambito ICT e Data Protection.
Siamo forse tra i primi fornitori ad aver proposto tale approccio, ma di fatto in questo modo semplifichiamo il processo di analisi dei rischi che ogni cliente deve condurre all’interno della propria azienda, anche per quanto riguarda l’ambito IT.
Qual è la chiave di successo del progetto?
Molti stanno già affrontando il tema del gdpr. Cosa devono fare le aziende? Sicuramente le aziende stanno diventando più consapevoli e stanno sviluppando una cultura del valore del dato, che costituisce sempre più un valore aggiunto e competitivo per le stesse.