21 Mar GDPR: la scadenza si avvicina! Sei pronto?
Il 25 maggio 2018 scade il termine ultimo per mettersi in regola con il GDPR, General Data Protection Regulation.
Tutte le aziende e le pubbliche amministrazioni hanno l’obbligo di iscrizione per adeguarsi.
In caso di mancato adeguamento, sono previste sanzioni proporzionali al volume di attività fino al 4% del fatturato annuo, e fino a 20 milioni di euro.
Ma siamo realmente pronti?
Dalle più recenti survey emerge che:
-Il 56% degli intervistati non conosce il significato del termine “GDPR”
-Il 64% non ha idea dei tempi secondo i quali la norma sarà recepita
-Il 52% ammette di non essere preparato per la compliance alla GDPR
-Un 35% dichiara di non sapere se le attuali misure interne alla propria azienda siano o meno conformi
A che punto sono le PA?
In linea generale, il contesto non si presenta molto bene:
Da 28 anni le amministrazioni applicano la legge 241/90 solo sotto il profilo degli adempimenti formali ma certamente le nostre amministrazioni non sono state riorganizzate e semplificate.
Da 13 anni le amministrazioni non applicano il CAD e quindi non hanno avviato (se non in modo frammentario) processi di digitalizzazioni.
La fase di adeguamento
Le amministrazioni che hanno avviato un processo di semplificazione (purtroppo poche) oggi si trovano in una condizione migliore per applicare il regolamento proprio perché possono meglio intervenire sui rischi e per approntare le misure di sicurezza che sono organizzative e tecniche.
“Un Paese che tratta bene i dati personali e li protegge è un Paese moderno che riconosce ai dati pubblici in generale e ai dati personali trattati dalle PA (il patrimonio dei dati pubblici) una funzione primaria fondamentale per la crescita del Paese stesso.”
Le analisi e le verifiche in questa fase dovranno quindi riguardare l’assetto attuale in tema di privacy ed in particolare alcuni aspetti:
-le norme sul trattamento;
-i compiti attribuiti ai diversi soggetti dell’ente responsabili del trattamento e della sicurezza;
-come si presenta il sito web dell’ente rispetto ai trattamenti e rispetto al ruolo che gli viene assegnato dal CAD, dal dlgs 33/2013;
-la formazione e l’utilizzo della modulistica, se in linea con la normativa privacy.
Per tutti é necessario un contesto riorganizzato e digitalizzato.
Al di fuori di questo contesto l’applicazione del Regolamento non sarà utile.
Il Data Protection Officer
La nomina dei Data Protection Officer non può essere fatta nella logica dello scarico delle responsabilità dei dirigenti, i quali sono responsabili del trattamento e della protezione dei dati personali in quanto sono responsabili dell’organizzazione, delle risorse e dei procedimenti del proprio settore di competenza.