Avere cura dei dati che raccogliamo conservarli al sicuro dagli sguardi di terzi non basta per essere in regola col GDPR, ma rappresenta il primo passo per affrontare al meglio le sfide relative alla sicurezza dei dati che il regolamento ci sottopone. Un inadeguato sistema di storage, sia cartaceo che informatico può rappresentare un enorme ostacolo nel percorso di adeguamento al GDPR. Quando raccogliamo dati di clienti, dipendenti, visitatori del nostro sito web dobbiamo fare in modo che questi siano catalogati e archiviati in maniera da non essere accessibili da parte di terzi non autorizzati.

La buona notizia è che per essere a norma con il GDPR ed evitare le pesanti sanzioni del Garante della Privacy, basta in molti casi davvero poco. Già in passato vi era una legislazione, a livello comunitario e nazionale, che si occupava di normare il trattamento dei dati, quindi per chi in passato avesse anche solo iniziato a rispettare la vecchia normativa, per la compliance al nuovo regolamento ha solo poche azioni da porre in essere.

.

Ma quali sono le 5 cose che devi fare per essere in regola con il GDPR?

.

GDPR | Regola 1: Curare l’archiviazione dei dati

L’archiviazione dei dati, dei consensi al trattamento e delle copie dei documenti dei nostri clienti è il primo passo per la corretta compliance al GDPR. Ecco quindi che bisogna chiedersi : i faldoni in cui ho inserito le carte di identità, sono in armadi chiudibili a chiave o comunque in ambienti separati e non facilmente raggiungibili anche in maniera fortuita da terzi? I computer con cui tratto i dati sono aggiornati per quanto riguarda la sicurezza? Ho antivirus/firewall aggiornati?

.

GDPR | Regola 2: Ripensa il modo in cui progetti la tua attività

Chiamata anche privacy by default & privacy by design: prima di operare ed, ad esempio, decidere di aprire un sito internet, pensa ai rischi connessi ad ogni tuo nuovo business: sono in grado di garantire la sicurezza del sito da solo o meglio affidarsi a web agency? E lo storage dei dati dei visitatori, chi mi garantisce che sia affidabile contro intrusioni di terzi? Sono solo alcune delle domande che devi porti. Ogni anno vengono attaccati piu di un milione di siti web, con aumenti su base annua di oltre il 20%, è un rischio reale di cui bisogna tener conto. Il privacy by default riguarda però anche il lato fisico del trattamento : dove tengo i computer? Sono amovibili? E il server, chi lo custodisce? Come vedi porsi le domande giuste è fondamentale per essere al sicuro.

.

GDPR | Regola 3: Osserva i migliori, ma non copiare

Spesso osservare quello che fanno le organizzazioni maggiori è un ottimo viatico: il piccolo B&B che copia l’informativa del grande Hotel è il classico esempio sia in positivo che in negativo. Certamente osservare come si comportano operatori simili a noi può essere un ottimo sistema per essere indirizzati sulla giusta via di adeguamento al regolamento, ma bisogna stare attenti: le organizzazioni pur se operanti nel medesimo mercato non sono tutte uguali e hanno spesso necessità diverse, queste necessità non possono essere chiaramente soddisfatte dai medesimi comportamenti. Copiare le informative, oltre ad essere un comportamento insufficiente per la compliance ci espone a errori di contenuto che rendono tutto il nostro sistema suscettibile di sanzioni.

.

GDPR | Regola 4: Scrivi una check-list

Il più delle volte ricordiamo benissimo quello che siamo tenuti a fare al momento dell’acquisizione di un nuovo cliente: apertura di nuovi file dedicati, copie dei documenti personali da richiedere, contratti da far sottoscrivere, ma la gestione di tutti questi documenti passa spesso in secondo piano, da una parte perché il sistema sanzionatorio precedentemente in vigore non era particolarmente strutturato e preciso come l’attuale, dall’altra perché ci si era abituati ad operare in mercati geograficamente ristretti e quindi era difficile che un teorico concorrente che risiede a 100 km di distanza potesse decidere di verificare la nostra compliance al solo scopo di danneggiarci: oggi non è più così. E’ difficile trovare attività senza siti web o pagine sui social ed ancora più difficile pensare che se prima operavamo con clienti nel raggio di 10 km dalla nostra sede, questo possa ancora funzionare. Per proteggerci quindi anche da sgradevoli comportamenti del nostro concorrente, ricordarci di aggiornare la nostra documentazione, metterci al riparo da verifiche e accertamenti è una necessità.

.

GDPR | Regola 5: Formati prima, aggiornati sempre

A differenza del precedente Dlgs del 2003 che normava la privacy in Italia, questo regolamento è sempre attuale e ci costringe ad una continua verifica delle nostre misure di sicurezza e dei nostri standard. Ma ancora prima di aggiornarci e rivolgerci a un consulente è importante fare formazione. Questa formazione non solo è obbligatoria, ma ti sarà utile per individuare il consulente migliore a cui affidarti per adeguarti al GDPR. Per comprare subito il miglior corso GDPR online CLICCA QUI! Per quanto riguarda la fase successiva di aggiornamento, ti basta pensare che non sono stati inseriti espliciti standard minimi rispetto a sistemi operativi da utilizzare, ma si deve sempre utilizzare strumentazione che sia in linea con lo stato dell’arte: si faccia l’esempio di chi utilizza sistemi quali Windows 8: si sarà rispettosi del regolamento fino al 2023, anno in cui è previsto l’ultimo aggiornamento extended.

.
Come vedi le azioni da porre in essere sono relativamente poche: quello che conta soprattutto nella fase di aggiornamento è affidarsi ai consigli di persone esperte.

Davide Hauner