Rendere conforme il trattamento dei dati in azienda alle regole del GDPR
Il Nuovo Regolamento europeo privacy (GDPR) sarà applicato, in tutti i Paesi UE, a decorrere dal 25 maggio 2018.
L’obiettivo del GDPR è regolamentare la gestione dei dati personali da parte delle aziende. Questi dati possono essere amministrati attraverso operazioni di:
- memorizzazione;
- elaborazione;
- eliminazione.
Queste operazioni dovranno seguire le procedure dettate dal Nuovo Regolamento privacy. Come sarà possibile gestire il trattamento dei dati, secondo le nuove procedure?
La soluzione per rendere conforme il trattamento dei dati aziendali
ARXivar il sistema di gestione documentale e dei processi, attraverso la gestione delle informazioni e dei processi aziendali garantisce la conformità del trattamento dei dati al GDPR. La piattaforma si integra a tutte le applicazioni aziendali in uso e permette di gestire con un unico strumento:
- procedure;
- processi;
- informazioni.
Con ARXivar si rende attuabile un approccio by design (basato sui processi). Le operazioni rimangono tracciate, misurate e sono dimostrabili. E’ il processo stesso a guidare l’attività dell’azienda, tramite workflow (modellatore grafico degli step procedurali).
Gestione della riservatezza e dell’accesso ai dati
Arxivar permette di gestire la riservatezza e l’accesso ai dati.
- Documenti crittografati accessibili solo tramite repository ARXivar.
- Gestione dei log sulle singole attività eseguite.
- Creazione di livelli autorizzativi, configurabili in base a utenti/gruppi/ruoli specifici, classi documentali/stati del documento e aree aziendali.
- Gestione versioning.
Gestione Accountability
ARXivar permette di gestire tutto il ciclo di vita delle informazioni del Sistema:
- creazione;
- approvazione;
- pubblicazione;
- condivisione;
- modifica e relativo tracciamento delle revisioni.
Tutte le procedure di gestione e i relativi documenti, sono conservate, sempre disponibili e condivise in modo controllato.
Definizione delle politiche di Privacy Impact Assesment (PIA)
Con ARXivar è possibile definire le politiche di Privacy Impact Assesment (PIA) e valutazione e gestione dei rischi del singolo trattamento, attraverso la corretta configurazione dei processi aziendali. ARXivar permette di impostare scadenze di verifica, classificando i rischi secondo le variabili di impatto e probabilità.
- Richiesta implementazione PIA.
- Redazione documento PIA in base a template predefinito.
- Approvazione delle Aree Competenti.
- Validazione finale DPO.
- Modifica del documento con versioning.
Gestione processo Data Brech
- Integrazione con tutte le applicazioni aziendali in uso per una gestione puntuale delle violazione dati.
- Redazione comunicazione all’Autorità competente in base a template predefinito.
- Invio comunicazione agli interessati.
- Gestione della risoluzione del Data Breach.
- Riclassificazione del rischio su di uno specifico trattamento.
Le sanzioni previste in caso di violazione
Per le aziende che violeranno anche solo uno degli obblighi formalizzati dal GDPR, sono previste sanzioni:
- amministrative fino a 20 milioni di euro;
- per le imprese, fino al 4% del fatturato totale annuo.
Anche soggetti non appartenenti agli Stati Membri, con interessi sul territorio UE o che trattino dati di cittadini UE, dovranno garantire le medesime garanzie di tutela previste dal Regolamento.
PMI escluse dal nuovo regolamento europeo privacy
Ci sono alcuni elementi importanti da considerare, tra cui le esclusioni previste per enti e altri organismi:
- con meno di 250 dipendenti;
- che non realizzano trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati;
- il trattamento risulta occasionale e non includa dati di cui all’art. 9.1 o all’articolo 10. (dati particolari e dati personali giudiziari).
In attesa di un chiarimento del Garante rispetto alla definizione di “occasionalità” e “rischio per i diritti e le libertà degli interessati”, una possibile chiave di lettura è l’applicazione del principio di “Accountability” promosso dal GDPR, ovvero la valutazione obiettiva e concreta dei rischi, per garantire l’adozione delle adeguate ed efficaci misure di sicurezza e privacy.