Protezione dei dati: cosa cambia per le aziende europee con il nuovo GDPR
DEMO
Contattaci

Protezione dei dati: cosa cambia per le aziende europee con il nuovo GDPR

Technology

Protezione dei dati: cosa cambia per le aziende europee con il nuovo GDPR

September 27, 2017 Franco Gementi

Il nuovo regolamento europeo sulla Protezione dei Dati (General Data Protection Regulation, Reg. UE 2016/679) entrerà in vigore in tutti i Paesi membri dell’Unione Europea, Italia compresa, il prossimo 25 maggio 2018. Sebbene questa data può sembrare ancora lontana, è fondamentale che le aziende identifichino fin da subito le modalità per adeguarsi alla nuova normativa, evitando così di arrivare impreparate ad affrontare quello che viene considerato uno dei cambiamenti più significativi degli ultimi 20 anni nella storia della protezione dei dati.

Approvato dal Parlamento Europeo in aprile 2016, questo strumento intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione Europea. Il Regolamento, che sostituirà la precedente direttiva sulla protezione dei dati istituita nel 1995, nasce con l’obiettivo di migliorare le garanzie per i cittadini e modificare l’approccio delle aziende al trattamento dei dati del personale, garantendo un maggiore equilibrio tra aziende e individui.

Visto l’incremento esponenziale degli attacchi hacker che minacciano di continuo la compromissione di milioni di dati sensibili in tutto il mondo, il GDPR vuole stabilire una guida ufficiale per il trattamento, l’archiviazione e l’utilizzo dei dati del personale, prevenendone la perdita e impedendone la condivisione non autorizzata, soprattutto nel caso di trattamento interamente o parzialmente automatizzato.

Le principali novità per le aziende

  • Stop al silenzio assenso: tutte le aziende dovranno richiedere – ed essere in grado di documentare – in modo chiaro e inequivocabile il consenso dei dipendenti all’utilizzo dei propri dati da parte dell’azienda;
  • Nomina del DPO (Data Protection Officer), quale responsabile della protezione dei dati personali (dipendenti, partner, clienti, pubblico);
  • Obbligo di introdurre valutazioni di impatto del rischio privacy;
  • Obbligo di notifica in caso di violazione dei dati entro 72 ore all’autorità garante della privacy;
  • Introduzione di sanzioni più o meno gravi - fino al 4% del fatturato annuo globale dell’azienda, per un massimo di 20 milioni di euro - in caso di non conformità a quanto disposto dal Regolamento.

La figura del Data Protection Officer

​Come ha spiegato in una recente intervista José Alberto Rodriguez Ruiz, data protection officer di Cornerstone OnDemand, il principale cambiamento organizzativo introdotto dal GDPR è senza dubbio l’istituzione della figura del DPO (Data Protection Officer) o Responsabile della Protezione dei Dati, che in molte aziende ancora non esiste.

In realtà, l’introduzione di questa funzione non è obbligatoria: il GDPR stabilisce la regola generale secondo cui “Il DPO è obbligatorio solo se l'attività principale dell'azienda consiste nel monitoraggio continuo e sistematico degli individui effettuato su larga scala, oppure se vengono trattati su larga scala dati sensibili o i precedenti penali”. Spetta dunque alle aziende decidere in base al proprio specifico contesto di attività.

Tuttavia, data la complessità delle mansioni, la costante evoluzione dello scenario, l’aumento degli episodi di cyber-crimine e la portata delle sanzioni, le raccomandazioni vanno in direzione della nomina di questa figura così specifica e specializzata, che dovrà riportare ai livelli più alti del management - a meno che non si tratti di aziende che hanno a che fare con quantità di dati personali davvero modeste (ad esempio, il produttore di parti di ricambio per l'industria automobilistica potrebbe non necessitare di un DPO se ha solo clienti B2B).​

Il DPO è chiamato a fornire linee guida su tutte le questioni relative a tutte le attività di trattamento di dati personali in modo da garantirne la compliance. Il DPO dovrebbe inoltre essere coinvolto in tutte le decisioni chiave ed essere considerato internamente come un consigliere fidato che supporta l’azienda in tutti i processi decisionali. Oltre al ruolo di abilitatore e suggeritore secondo quanto stabilito per legge, il DPO dovrebbe avere anche un certo numero di responsabilità operative in funzione del contesto dell'organizzazione – come, ad esempio, definizione delle policy, gestione delle richieste e dei reclami in materia di dati, analisi dei rischi e audit della privacy.

​Si tratta di un ruolo complesso che richiede approfondite conoscenze di questioni legali, di IT, di sicurezza e dei processi di business in un ambiente in veloce evoluzione. In circa il 50% dei casi ​il DPO ha un background legale, nel 30% IT, nel 15% di business puro (ad esempio HR) e nel rimanente 5% proviene da ruoli diversi. Le aziende dovranno pertanto assumere e formare gli specialisti. Il contesto aziendale determinerà quali competenze sia meglio cercare in un neoassunto e per quali sia meglio formare la persona (ad esempio, per le aziende molto tecnologiche potrebbe essere necessario assumere un ingegnere esperto con una forte conoscenza dell'IT, una competenza difficile da acquisire senza un background tecnico).

Cosa cambia per i dipendenti?

Il nuovo regolamento introduce, come abbiamo visto, tutta una serie di novità che mirano a una sempre maggiore tutela della privacy. Per i collaboratori, ciò significa una sempre maggiore garanzia di potersi fidare della propria azienda. Ogni dipendente potrà infatti contare sul fatto che i suoi dati saranno gestiti in maniera corretta e saprà esattamente chi potrà avere accesso a che cosa.

Ai singoli dipendenti viene riconosciuto dunque un maggiore controllo sul modo in cui le imprese possono utilizzare i loro dati. Le aziende dovranno garantire che i dati siano trattati secondo l’iter stabilito dalla legge, in modo trasparente e al solo scopo per cui sono stati raccolti – per tutti gli altri usi sarà richiesto esplicito consenso ai diretti interessati –, garantendo la registrazione dei soli dati strettamente necessari al processo di assunzione e di gestione del dipendente e la loro cancellazione quando quest’ultimo non sarà più in azienda.

In questo modo, dal punto di vista del dipendente, l’introduzione di una tale politica di protezione dei dati più attenta e trasparente potrà concorrere ad aumentare la fiducia dei lavoratori nei confronti della propria azienda e ciò contribuirà, di conseguenza, a creare relazioni sempre più solide e migliori tra le due parti.

Comments

Want to hear more?

Our RSS Feeds

Cornerstone Blog Feed

Learn how our Integrated Talent Management Solutions can help you face tough challenges.
Check out our products

Tags

Archives