Il regolamento generale sulla protezione dei dati, GDPR, entrerà in vigore il 25 maggio 2018, data entro la quale ogni azienda che gestisce dati personali di cittadini dell’Unione Europea dovrà essere conforme alle nuove regole, per non incorrere in multe fino a 20 milioni di euro o fino al 4% del giro d’affari globale dell’anno in corso.
Il regolamento ha implicazioni per tutte le aziende che raccolgono, processano, archiviano o utilizzano dati personali di cittadini europei, incluse le organizzazioni del settore pubblico, che operano in ambito healthcare e marketing, nonché le aziende che lavorano per loro.
L’entrata in vigore del GDPR coinvolge anche le aziende che fanno uso intensivo di stampanti, come quelle che si occupano di direct mailing, stampa transazionale e comunicazione grafica, la cui attività include il trattamento di dati personali provenienti dall’Unione Europea.
Cosa comporta, quindi, la nuova regolamentazione per il mondo del printing?
Ce lo spiega Alessandro Rigobello, Workflow Automation – Senior Business Development Manager di Xerox, in cinque punti.
Comprensione e organizzazione
Il primo passo per qualsiasi azienda nel settore del printing è capire se sia classificata come Data Controller o Data Processor. In base alla nuova regolamentazione, entrambi hanno degli obblighi. Un Data Controller determina per quale scopo e in che modo vengano trattati i dati personali (per esempio da una banca), mentre un Data Processor processa quei dati personali per conto del Controller (ad esempio, un’azienda di stampa potrebbe fungere da Data Processor nel momento in cui stampa gli estratti conto per la banca).
Le aziende, indipendentemente dalla classificazione, potrebbero aver bisogno di scegliere un responsabile della protezione dei dati (DPO) oppure, nel caso in cui non sia strettamente necessario, potrebbero comunque decidere di nominarne uno. Lavorando insieme ad altri dipartimenti, il DPO vede tra i suoi compiti quelli di monitorare la conformità con il GDPR, avvisare e informare l’azienda e i suoi dipendenti dei loro obblighi, essere un punto di contatto tra le autorità di controllo e gli individui i cui dati vengono trattati.
Registri delle attività di processing
Con la nuova regolamentazione, sia ai Data Controller, sia ai Data Processor viene richiesto di conservare i registri delle attività di data processing e di rendere tali registri accessibili alle autorità di controllo laddove richiesto.
Come fanno i Data Processor a tenere traccia del flusso di dati? Un modo potrebbe essere quello di eseguire un data mapping che fornisca una visione complessiva dei dati che vengono raccolti, trattati e conservati, e che tracci il flusso di dati tra business unit e sub-incaricati di terze parti. Queste mappature potrebbero anche dover essere ripetute nel caso in cui si verifichino cambiamenti nel modo in cui i dati vengono raccolti, oppure i sistemi, i processi o le procedure cambino durante il ciclo di vita dei dati.
Diritti individuali
Stretta sorveglianza e tracking dei dati personali sono essenziali per essere in linea con i diritti individuali rafforzati del GDPR, tra cui il diritto a essere informati, alla portabilità dei dati e all’oblio (anche conosciuto come “diritto di essere dimenticati”).
Nel caso in cui un individuo desideri che i propri dati vengano cancellati o, se appropriato, che il trattamento dei dati venga interrotto, le aziende di stampa, in qualità di Data Processor, potrebbero dover supportare i Data Controller con le richieste di accesso. I Data Processor dovrebbero quindi archiviare dati personali specifici in modo che possano essere rimossi o distrutti per ordine di un Data Controller o di un individuo.
Sicurezza e privacy
Le nuove tempistiche previste dal GDPR per la segnalazione delle violazioni, che danno ai Data Controller 72 ore per riportare le violazioni dei dati alle autorità di controllo, hanno riscosso particolare attenzione. Il GDPR richiede inoltre ai Data Processor di avvisare i Data Controller senza eccessivo ritardo dopo essersi accorti di una violazione dei dati personali.
Per evitare le multe e i danni alla reputazione che una violazione dei dati può causare, all’industria del printing verrà richiesto di mantenere uno standard di sicurezza più alto che mai. Le aziende di stampa dovrebbero implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adatto al rischio.
Con l’avvento dell’Internet of Things (IoT) e un numero crescente di device wireless con accesso alle reti, sono emerse nuove minacce alla cyber-security in grado di impattare le tecnologie di stampa. Le stampanti e i dispositivi smart moderni richiedono un approccio multi-livello alla sicurezza che comprende la prevenzione dalle intrusioni, la rilevazione dei device, dei documenti e dei dati, nonché partnership esterne con specialisti della sicurezza. Mettere in sicurezza i dati personali, ad esempio attraverso la cifratura (come appropriato), è imperativo; quando i dati non sono più necessari, dovrebbero essere opportunamente cancellati.
Inoltre, caratteristiche di prodotto come il controllo degli accessi (che garantisce l’accesso ai dispositivi di stampa solo a utenti autorizzati) e la stampa sicura (che rilascia i documenti di stampa solo quando l’utente inserisce il PIN) contribuiscono a risolvere le preoccupazioni degli utenti in termini di sicurezza.
Poiché il compito di controllare la sicurezza sta diventando sempre più oneroso, è verosimile che gli SLA (service level agreements) di sicurezza – incluse la cifratura dei dati e l’autenticazione a due fattori – appariranno nei contratti con più frequenza.
Consolidamento della rete
Molti progetti di stampa transazionale utilizzano partner multipli per campagne di direct mailing complesse (un partner per gli inserti, uno per le lettere, uno per la collazione, ecc), il che diminuisce il controllo sui contenuti e aumenta il rischio di esposizione ai rischi.
Le esigenze del GDPR potrebbero risultare in un incremento del business per gli OEM più grandi, poiché i clienti cercano la sicurezza di uno shop unico che gestisca i subincaricati attraverso tutte le aree geografiche e fornisca infrastruttura, sicurezza e reporting automatico in un ambiente controllato.
A pochi mesi dall’effettiva entrata in vigore del GDPR, è tempo per le aziende di prepararsi ai significativi cambiamenti che il nuovo regolamento porterà al settore del printing. È altresì tempo per le aziende di stampa, di valutare la loro attività di data processing, cercare i consigli di esperti e sviluppare un approccio sistematico.
