La corsa ai ripari è entrata nel vivo. Nei mesi scorsi abbiamo spesso sottolineato come l’adeguamento al GDPR venisse snobbato dalla stragrande maggioranza delle imprese, o meglio, come il GDPR rimanesse ancora un perfetto sconosciuto. Ora, a poco più di un mese dall’entrata in vigore dal punto di vista esecutivo di tale regolamento, sembra stiano cominciando a suonare i vari campanelli d’allarme, sicuramente anche per effetto dello scandalo che ha investito Facebook.
Non stiamo qui a spiegare (per l’ennesima volta) cosa impone il nuovo regolamento europeo sulla privacy; cerchiamo di capire cosa debbono fare effettivamente le imprese per adeguarsi. Conoscere la normativa, quello che richiede e ciò che comporta è di sicuro il punto di partenza per poter agire. Non si tratta esclusivamente di una semplice lettura del testo del regolamento, ma di inziare attivamente con un lavoro preparatorio. Nell’acquisire la consapevolezza e la giusta sensibilizzazione nei confronti delle richieste del regolamento è essenziale entrare nell’ottica che si tratta di un progetto a lungo termine e come tale va strutturato. L’adeguamento alla norma deve pertanto avvenire in funzione degli obiettivi di business fondamentali dell’azienda. A nostro avviso, in questa fase preliminare, i team dirigenti dovrebbero porsi domande del tipo:
- Qual è l’obiettivo che l’azienda vuole raggiungere nell’immediato? E tra 5-10 anni?
- Quali dati (personali) sono necessari per raggiungere obiettivi di business strategici?
Una volta trovate le risposte a tali domande, comincia la fase di rilevamento e l’analisi delle lacune -dall’inglese GAP Analysis. Occorre quindi documentare quali dati personali sono in possesso dell’azienda, da dove provengono e con chi vengono condivisi. È importante identificare e classificare tutti i dati personali che l’azienda raccoglie, tratta e archivia. Successivamente si passa a identificare il grado di completezza delle misure di conformità attualmente presenti, ossia si effettua l’analisi delle lacune, della distanza (GAP) che effettivamente sussiste tra la situazione reale e ciò che richiede il regolamento. In questa attività andranno presi in considerazione non solo gli aspetti tecnologici/di sicurezza informatica, ma anche l’ambito contrattuale/normativo e di conseguenza tutti quegli adempimenti che non scompariranno con l’applicazione del regolamento ma che, al contrario, ne diventeranno la base. Il risultato della GAP Analysis è una descrizione puntuale degli elementi mancanti per colmare la citata distanza.
Contestualmente alle informazioni raccolte sulle attività di trattamento dei dati in essere e sulle corrispondenti misure di conformità è buona cosa essere consci anche dei rischi, ossia di identificare le lacune ad alto rischio che devono essere colmate immediatamente, definendo in questo modo un ordine di priorità di conformità. In poche parole, si va a creare una roadmap o piano d’azione che dovrebbe includere tutte le attività da completare entro maggio 2018, ma anche tutte le altre azioni necessarie per assicurare la conformità a lungo termine.
Non resta che mettere in pratica le azioni definite. Tuttavia, quando si passa all’azione è necessario il contributo di team diversi, interni ed esterni all’azienda. Chiariremo questo aspetto in un successivo contributo.
To be continued…
Sara Avanzi