Tempo scaduto: il GDPR è legge

May 30, 2018 Jose Alberto Rodriguez Ruiz

Di GDPR si discute da mesi, le aziende si sono documentate a fondo e hanno richiesto consulenze specialistiche per non farsi trovare impreparate all’entrata in vigore della nuova regolamentazione, divenuta ormai realtà.

Tutti abbiamo ben chiaro come il nuovo regolamento europeo sulla protezione dei dati sia stato pensato per armonizzare le leggi sulla privacy in tutta Europa con regole rigorose sulla gestione, l’archiviazione e l’utilizzo dei dati personali. Come abbiamo più volte sottolineato, il GDPR ha evidentemente un impatto molto significativo anche sui dipartimenti HR delle aziende di tutta Europa e negli ultimi mesi è stato fatto uno sforzo notevole per cercare di capire come raggiungere la piena compliance, assicurandosi di trattare i dati non solo di consumatori, marketing, fornitori e clienti ma anche di dipendenti e candidati nel pieno rispetto della nuova normativa.

Il raggiungimento della piena conformità al GDPR è un processo particolarmente arduo per le aziende, specie quelle che elaborano quantità ingenti di dati, messe a dura prova dalle complessità della normativa. Essere conformi richiede una preparazione meticolosa ed è nell'interesse dell’azienda, e dei dipartimenti HR nel nostro caso, porre in essere tutta una serie di best practice per la gestione dei dati in loro possesso per limitare i rischi legati all’assenza di regole ben definite (particolarmente utili nel caso di cyber-attacchi), ma anche per migliorare la qualità stessa dei dati e, di conseguenza, il loro valore.

Ma quante aziende sono davvero conformi al nuovo GDPR? Una ricerca internazionale diffusa da Sas in questi ultimi giorni rivela un ritardo nel completo adeguamento alle nuove norme da parte delle imprese, sebbene la maggior parte ne comprenda appieno i potenziali benefici. Il 91% degli intervistati europei ritiene, infatti, che il regolamento migliorerà la gestione e l’amministrazione dei dati, mentre il 69% sottolinea come il GDPR sarà in grado di accrescere la fiducia tra le organizzazioni e i propri clienti. Inoltre, secondo un altro studio del Digital Transformation Institute di Capgemini (Seizing the GDPR Advantage: From mandate to high-value opportunity), una società su quattro non sarà pienamente conforme al nuovo regolamento nemmeno entro la fine dell’anno.

In questi mesi le aziende hanno dovuto incorporare le direttive del GDPR ed eseguire una gap analysis mirata. Ma se hai bisogno di tracciare rapidamente la conformità della tua azienda, assicurati di aver seguito questi step:

1) nomina di un DPO, o almeno di un responsabile ben definito incaricato della protezione dei dati 2) definizione della cartografia dettagliata dei dati e dei processi, nonché del registro dei trattamenti. Tenere il registro dei trattamenti sempre aggiornato è fondamentale perché è la prima cosa richiesta dalle autorità in caso di ispezione, subito seguito dal piano per la compliance.

3) definizione del processo di gestione delle richieste degli utenti

4) elaborazione di un piano specifico per tutto il resto.

Chi ha “fatto i compiti” entro la scadenza del 25 maggio può ritenersi in regola, ma non si dimentichi che il grosso del lavoro inizia in realtà proprio adesso. D’ora in avanti sarà infatti indispensabile:

- mantenere la compliance alla normativa attraverso soluzioni che garantiscano la governance dei dati;

- gestire correttamente le informazioni che transitano in azienda, identificando i dati che possono essere sensibili in termini di privacy e come tali soggetti al GDPR;

- identificare le competenze necessarie per non mettere a repentaglio i dati terzi

Cosa fare ancora?

1. Controllo dei dati

Esaminare processi, dati raccolti e procedure di trattamento. I dati personali condivisi e archiviati via e-mail sono uno degli aspetti principali da tenere sotto controllo: ad esempio, un CV che include le informazioni personali dei candidati può essere condiviso con diversi dipendenti e rimanere nelle caselle di posta in arrivo, mettendo a rischio le informazioni personali del candidato.

Non si è esonerati neppure dal rigoroso controllo dei dati raccolti automaticamente, in quanto si è ugualmente responsabili per le azioni risultanti da un processo automatico.

2. Controllo della compliance dei partner

Se i dati vengono archiviati ed elaborati da aziende partner, verificare sempre che queste siano conformi al GDPR poiché la maggior parte delle violazioni dei dati sono dovute a una debolezza nell'ecosistema delle organizzazioni partner.

3. Priorità al GDPR

Nella progettazione di un nuovo sistema/processo, il GDPR deve essere posto in primo piano. Non partire dal processo, ma dai dati e dalla creazione di procedure per la loro raccolta e conservazione sarebbe l’iter più corretto. Quindi, occorrerà esaminare i processi che riguardano i dati di cui si ha realmente bisogno e incorporare i requisiti di privacy e i diritti dell'utente all'interno di tali processi.

4. Responsabilità

Le aziende devono garantire la massima trasparenza, anche relativamente al luogo in cui i dati di dipendenti e candidati vengono archiviati e al modo in cui vengono elaborati, chiarendo chi può accedere a quali dati. Una volta che set di dati e processi sono stati rivisti e adattati, sarà poi essenziale poter documentare la propria conformità. Questo corrisponde al cosiddetto principio di responsabilità e si traduce essenzialmente nella documentazione dei set di dati (e in che modo questi sono conformi al principio di minimizzazione) e nella documentazione dei processi (e in che modo i requisiti di privacy sono implementati e come gli utenti possono esercitare i loro diritti).

Per saperne di più e tenerti sempre aggiornato sulle ultime novità relative al GDPR seguimi su LinkedIn: https://www.linkedin.com/in/jrodriguezparis/?locale=es_ES

 

Articolo precedente
2018 in crescita per Cornerstone OnDemand Italia
2018 in crescita per Cornerstone OnDemand Italia

La trasformazione digitale, l’automazione e l’intelligenza artificiale ci hanno portati nell’era della Skil...

Articolo successivo
Learning: 3 best practice per coinvolgere manager e dipendenti nei percorsi di apprendimento