Sul calendario di imprenditori e liberi professionisti il prossimo 25 maggio è una data segnata in rosso. L’imminente entrata in vigore del nuovo Regolamento sulla protezione dei dati personali suscita non poche preoccupazioni, tanto che Achab ha organizzato “GDPR: ultima chiamata”.
L’evento, messo a punto dall’azienda specializzata nella distribuzione di soluzioni software a valore, è stato l’occasione di rispondere alle tante domande ancora senza risposta e soprattutto offrire una serie di spunti pratici sui passi più urgenti da compiere, a poco più di 60 giorni dall’entrata in vigore del regolamento europeo.
In particolare, chi si occupa di servizi IT sa quanto la sua figura sarà fondamentale per le aziende clienti. Il GDPR, infatti, prevede regole e sanzioni molto precise in materia di trattamento delle informazioni e dei dati di privati e imprese. Regole che impattano direttamente sui rapporti cliente/fornitore e le reciproche responsabilità di fronte alla legge.
Per loro, l’intervento di Chiara Magalini, avvocato esperto di diritto informatico, e quello di Luca Bechelli, che ha diffuso i nuovi dati del rapporto Clusit 2018 sulla sicurezza IT, hanno sottolineato in modo chiaro e soprattutto concreto cosa serve fare subito.
Di fronte ad un pubblico composto da professionisti e fornitori di servizi IT i relatori hanno illustrato quali azioni è necessario mettere in campo già ora per evitare le sanzioni, come affrontare le questioni legate al regolamento europeo, su quali strumenti tecnologici e piattaforme contare e come, non da ultimo e non meno difficoltoso, sensibilizzare i clienti.
Le novità introdotte dal GDPR di cui ha parlato Magalini sono diverse, una delle più importanti per chi si occupa si fornire servizi IT è la creazione della figura del Data Protection Office ai cui skill tecnici dovranno necessariamente sommarsi anche competenze di tipo legale.
Dal punto di vista operativo sarà, infatti, necessario provvedere alla mappatura dei dati e dei trattamenti per arrivare a creare un vero e proprio registro.
Occorrerà, poi, procedere con un’analisi dei documenti e delle procedure attive per organizzarne la revisione, aggiornare e implementare le misure tecniche IT e anche quelle organizzative senza dimenticare le procedure di gestione dei possibili data breach.
Sarà, inoltre, necessario valutare insieme con il cliente la necessità della creazione del Dpo e, soprattutto, fare tanta formazione a chi sarà il titolare del trattamento dei dati all’interno dell’azienda.
Un piccolo vademecum per punti
Occorrerà assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento dei dati, nonché un ripristino tempestivo della disponibilità e dell’accesso agli stessi, in caso di data breach.
Bisognerà, poi, testare, verificare e valutare regolarmente l’efficacia delle misure concordate con il cliente.
Il regolamento europeo impone, infatti, un modello di gestione continuo, che non è più possibile abbandonare una volta creato.
L’approccio giusto a ciò che sta per accadere è considerare il regolamento stesso un modello di gestione, solo in questo modo sarà possibile trasformare un problema in un’opportunità di lavoro.
