GDPR, gli obblighi documentali e dell’ infrastruttura IT delle PMI

Il General Data Protection Regulation, meglio conosciuto con la sigla GDPR, è il regolamento europeo sulla Privacy, entrato in vigore il 25 maggio 2018.

Tra gli obblighi per le aziende, introdotti dal GDPR, ricordiamo:

  • informative e richieste di consenso in forma chiara (articolo 7);
  • l’istituzione di un registro delle attività (articolo 30);
  • la notifica delle violazioni (data breach) entro 72 ore (articolo 33);
  • la designazione di un «responsabile protezione dati» (articolo 37).

In sostanza, ogni azienda dovrà dotarsi di un registro di trattamento. Si tratta di un registro delle attività in cui si elencano le finalità dell’elaborazione dei dati, i destinatari e l’eventuale scadenza per la loro cancellazione.

Inoltre, vengono analizzati eventuali rischi o falle nel sistema della sicurezza dei dati, che va migliorato con uno specifico piano di attuazione periodico.

Res Nova e il supporto alle PMI

Res Nova ha attivato un servizio di supporto alle PMI per avviare l’iter di analisi iniziale. Questa analisi è finalizzata alla mappatura dei dati trattati e dei relativi responsabili e incaricati.

In questo modo è possibile aiutare le imprese a capire dove sono eventuali punti di debolezza all’interno dei propri archivi, con riferimento particolare a quelli informatici, stabilendo insieme ai titolari del trattamento un piano di miglioramento del sistema.

Res Nova fornisce poi, su richiesta, un servizio annuale di “manutenzione” del sistema di gestione della sicurezza dei dati.

Inoltre, dal 2020, l’agenzia offre la possibilità di adeguare anche l’infrastruttura informatica delle aziende Clienti ai requisiti GDPR.

In particolare Res Nova potrà supportare le PMI in merito ai seguenti macro aspetti, per quanto riguarda la sicurezza informatica:

  1. Log Management;
    • Backup in cloud (su infrastruttura certificata) dei log, da conservare per 180 giorni;
    • Il backup in cloud dei documenti. Questo aspetto è molto importante in determinati ambiti, soprattutto per le aziende che lavorano con la PA;
    • Antivirus, firewall e tutto quello che è necessario per rendere sicura l’infrastruttura, in base al risk assessment effettuato.

Le sanzioni per chi non si adegua al GDPR

Se si viola il regolamento, scattano delle sanzioni e sono divise in due scaglioni: fino a un massimo di 10 milioni di euro per le imprese – o il 2% del fatturato (se superiore) – oppure fino a un massimo di 20 milioni – o il 4% del fatturato – sempre per le aziende e sempre in rapporto al giro d’affari.

La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza.

Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Seguici su Facebook.

COPYRIGHT 2020 | TUTTI I DIRITTI RISERVATI | Res Nova S.r.l. Consulenza e Formazione |  P.IVA 02477110593

X