Tre mesi al GDPR: cosa deve fare chi comincia un audit da zero

Mancano tre mesi all’entrata in vigore del GDPR. Cosa significa fare, adesso, un audit che serva a mettersi in regola con il regolamento, e che comincia da zero?

Lo abbiamo chiesto all'esperto José Alberto Rodríguez Ruiz, DPO di Cornerstone OnDemand, il quale ci ha detto che sgnifica preparare un piano d’azione puntuale che consenta di non perdere ulteriore tempo. «Anche se devo ammettere - ha detto RUoz - che mi sorprenderebbe molto sapere che vi sono organizzazioni che si trovano oggi a dover partire proprio da zero».

Questo perché, ancor prima della normativa specifica del GDPR, le aziende erano già chiamate a uniformarsi ad alcune norme, come ad esempio quelle in materia di sicurezza dei sistemi IT.

Ad ogni modo, in linea generale, le aziende dovranno innanzitutto comprendere a fondo i requisiti imposti dalla nuova regolamentazione ed effettuare una gap analysis per potersi concentrare sugli scostamenti più critici.

L’ideale resta sempre partire dall’osservazione dei dati di cui si è in possesso e da una comprensione a 360 gradi di come queste informazioni vengono utilizzate e protette.

Quali sono le azioni che si possono fare e in quanto tempo?

Se partiamo dall’osservazione dello stato attuale delle cose, almeno una prima valutazione generale può essere completata abbastanza velocemente, nel giro di circa un mese. Ciò consentirà alle aziende di focalizzare la propria attenzione e incanalare i propri sforzi correttivi innanzitutto sulle aree più critiche: così, ad esempio, un’azienda B2C si concentrerà dapprima sui dati relativi ai clienti e poi sul marketing, mentre un’organizzazione B2B probabilmente si focalizzerà prima sulle HR, poi sul marketing e a seguire sui dati relativi ai clienti. Altre azioni possono poi essere eseguite in parallelo, come ad esempio l’analisi della sicurezza dei sistemi IT o la nomina di un Data Protection Officer (DPO).

Da questo punto di vista, in Cornerstone OnDemand supportiamo i clienti su più livelli per aiutarli a conformarsi al nuovo regolamento al meglio e in tempi piuttosto rapidi. Innanzitutto abbiamo aggiornato tutti i processi interni al fine di incorporare la privacy by design e la privacy by default e rinforzato la sicurezza dei sistemi, ottenendo, ad esempio, la certificazione ISO 27018. Abbiamo inoltre migliorato le funzionalità dei nostri sistemi per quanto riguarda la cancellazione dei dati e l’anonimizzazione o aggiunto la possibilità per il cliente di personalizzare la propria policy per la privacy. Infine, abbiamo creato un canale dedicato per aiutare le aziende clienti che operano in Europa a orientarsi con le nuove disposizioni di legge, lanciando l’iniziativa GDPR-Ready. Attraverso questo nuovo servizio, il team Global Privacy di Cornerstone, un gruppo di specialisti della sicurezza dei dati del quale sono a capo, affiancherà quanti da qui al prossimo 25 maggio dovranno conformarsi al GDPR, fornendo diversi tipi di supporto, dall’assistenza nell’esecuzione del DPIA (Data Protection Impact Assessment) fino alla consulenza sulle strategie di approccio alla privacy.

Cosa deve mettere in campo un’azienda, in termini di risorse umane e tecniche per far sì che l’audit e il conseguente piano di azione sia efficace?

La cosa più importante è che ci sia un DPO o comunque un responsabile incaricato della protezione dei dati ben definito. Il punto non è tanto nominare un DPO perché la legge stabilisce che occorre averne uno (non tutte le aziende saranno difatti obbligate ad averlo) ma perché, in termini di gestione dei processi e di change management, è utile che ci sia un responsabile riconosciuto. Inoltre, è altrettanto utile identificare dei punti di contatto locali nelle diverse aree coinvolte, ad esempio nella sezione HR e nel dipartimento marketing, individuando dei referenti che possono ricoprire cariche anche piuttosto creative: coordinatori della privacy, privacy champion o privacy ninja. In altre parole, stiamo praticamente assistendo alla nascita di una nuova professione, un’opportunità di carriera in più che i responsabili delle Risorse Umane potranno offrire d’ora in poi ai dipendenti.

E poi, c’è un altro fattore chiave da tenere presente: gli strumenti tecnologici usati dalle aziende devono essere sottoposti a un upgrade adeguato per garantire piena compliance alla nuova normativa. Difatti, non tutti gli strumenti e i sistemi tradizionalmente utilizzati per la gestione dei dati possono dirsi già conformi al GDPR: molti non supportano modelli flessibili per la gestione dei dati, altri presentano invece limitazioni nell’elaborazione o nella cancellazione degli stessi, altri ancora non dispongono di adeguati livelli di sicurezza. In tutti questi casi, sistemi e strumenti devono essere sostituiti o aggiornati in modo da rispettare quanto previsto in materia dal GDPR.

Quanto costa adesso mettersi in regola con il GDPR?

Questa è una domanda molto difficile cui rispondere perché qui entrano in gioco diversi fattori. Molto dipende dalle dimensioni dell’azienda, dal settore in cui opera e dal tipo di dati che devono essere gestiti. Come termine di paragone, è possibile fare riferimento ai costi di un audit sicurezza o a quelli per l’implementazione di un programma di compliance agli standard di sicurezza imposti dalla legge. La cifra non dovrebbe discostarsi molto.

Inoltre, nelle grandi organizzazioni vi sarà probabilmente un team che possiamo immaginare composto da 5-10 persone dedicato alla definizione e attuazione dei piani d’azione necessari per conformarsi al GDPR, mentre le aziende molto piccole opteranno tendenzialmente per un DPO esterno. Anche in questo caso, il costo può essere paragonato a quello di altre attività di consulenza, ad esempio legale o fiscale.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome