Case history Software selection CIO & Innovation Analytics Cloud Computing Edge Computing Sostenibilità Industria 4.0 Intelligenza Artificiale Mobility Software TechTarget Resource Center

Metodologie

GDPR: un percorso strutturato e sostenibile per essere compliant

Per ottemperare correttamente alle disposizioni ed essere compliant al GDPR, le aziende devono definire un percorso di adeguamento e poter dimostrare le azioni implementate e quelle ancora da fare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento consigliato è articolato in 7 step, vediamoli nel dettaglio

Pubblicato il 06 Nov 2017

Luca Galetti

Andrea Reghelin

GDPR: un percorso strutturato e sostenibile per essere compliant

Il regolamento generale sulla protezione dei dati personali UE 2016/679 (GDPR), già in vigore ma pienamente applicabile dal 25 maggio 2018, ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali. Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection (figura).

Modello di funzionamento della Data Protection – fonte: P4I

Vuoi approfondire i temi del GDPR?<br>Iscriviti alla Newsletter ZeroUno per restare aggiornato sui temi della IT business innovation

Immagine cta Vuoi approfondire i temi del GDPR?<br>Iscriviti alla Newsletter ZeroUno per restare aggiornato sui temi della IT business innovation

ISCRIVITI SUBITO

In questo contesto, è fondamentale per ciascuna delle organizzazioni che deve adeguarsi definire un percorso strutturato e sostenibile per essere GDPR compliant entro maggio 2018 e, allo stesso tempo, essere in grado di dimostrare sia le azioni implementate, e le relative motivazioni, sia le azioni ancora da implementare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:

  1. identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario – circolare n.285 del 17 dicembre 2013) e tenendo costantemente monitorata l’emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee;
  2. individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso, ma anche nella gestione del modello di funzionamento a regime (potrebbe essere importante coinvolgere, per esempio, le funzioni Legale, Organizzazione e Risorse Umane, Sistemi Informativi, Sicurezza e Compliance);
  3. analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali, evidenziando gli assi del modello per i quali sono già state implementate delle azioni GDPR compliant, almeno in parte (per esempio nomina di responsabili esterni del trattamento, adozione di procedure per la gestione dei diritti degli interessati);
  4. mappatura preliminare dei trattamenti e creazione del registro dei trattamenti (vedi articolo 30 del GDPR), con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento, da legare a variabili quali le categorie di dati trattati e di interessati coinvolti, l’utilizzo di sistemi automatizzati e il trasferimento di dati extra UE;
  5. identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti, per i quali è necessario valutare attentamente i rischi di non conformità (sanzioni, perdite finanziarie rilevanti o danni reputazionali);
  6. definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi, organizzate in funzione di cantieri e sotto-cantieri di lavoro facilmente riconducibili ai requisiti del regolamento (es. cantiere “Legale” e sotto-cantieri “Diritti degli interessati”, “Informative e consensi”, “Fornitori e contratti”), ai quali è necessario attribuire un accountability univoca e condivisa tra i vari attori coinvolti nel percorso;
  7. implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure (es. gestione dei diritti degli interessati), progettazione ed erogazione di iniziative volte sensibilizzare e formare dipendenti e collaboratori; revisione delle misure di sicurezza per la protezione dei dati personali

    Immagine cta

    ISCRIVITI

Per la buona riuscita del percorso, inoltre, occorre non sottovalutare la necessità di assicurare il coordinamento complessivo dello stesso attraverso: l’introduzione di un PMO (Program Management Officer); la realizzazione di allineamenti periodici, sia di natura operativa sia di natura strategica (Steering Committee); la raccolta, condivisione e archiviazione della documentazione prodotta all’interno di un unico repository.

Per concludere, è importante sottolineare che nell’ottica dell’accountability il percorso progettuale di adeguamento al GDPR costituisce già un elemento importante per la valutazione della compliance. È importante che tutte le decisioni rilevanti siano opportunamente documentate e consentano di ricostruire l’iter seguito. Andranno documentate, a titolo puramente esemplificativo, le decisioni di dotarsi o meno di un Data Protection Officer, le valutazioni circa l’adeguatezza delle misure di sicurezza adottate, le scelte di effettuare o meno una valutazione di impatto su un trattamento di dati personali.

Immagine cta

ISCRIVITI

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale Digital Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Leggi l'articolo Digital360Awards e CIOsumm.it, i momenti salienti
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Leggi l'articolo La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Leggi l'articolo Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Leggi l'articolo Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Leggi l'articolo Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Leggi l'articolo Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Leggi l'articolo Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Leggi l'articolo Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Leggi l'articolo Open Source: collaborazione e innovazione nel caos apparente del software libero 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Leggi l'articolo BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Leggi l'articolo AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Leggi l'articolo Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Leggi l'articolo Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Leggi l'articolo Digital360Awards e CIOsumm.it, i momenti salienti
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Leggi l'articolo La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Leggi l'articolo Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Leggi l'articolo Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Leggi l'articolo Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Leggi l'articolo Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Leggi l'articolo Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Leggi l'articolo Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Leggi l'articolo Open Source: collaborazione e innovazione nel caos apparente del software libero 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Leggi l'articolo BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Leggi l'articolo AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Leggi l'articolo Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Leggi l'articolo Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

  • GDPR

  • Guida

    GDPR: Cosa fare. Come fare. Gli scenari.

    27 Nov 2019

    di P4I - Partners4Innovation

    Condividi
  • La stretta relazione tra GDPR e innovazione digitale

  • La stretta relazione tra GDPR e innovazione digitale

    02 Ott 2017

    di Sergio Fumagalli

    Condividi
  • Tag: GDPR, Privacy, Data protection

  • Gdpr, il nuovo regolamento Ue sulla privacy, come cambia la protezione dei dati

    25 Mag 2016

    di Elisa Gallarati

    Condividi

Articolo 1 di 4