Siamo ormai prossimi alla scadenza del 25 maggio, ovvero dall'entrata in vigore del GDPR (Regolamento Generale sulla Protezione dei Dati),
Uno dei temi che le aziende fanno più fatica a comprendere, è che la privacy deve entrare a far parte della gestione delle informazioni, questo presuppone la necessità di ripensare i propri processi di gestione dei dati.
I concetti di privacy si esplicano in due tipologie, privacy by design e privacy by default.
Privacy by design specifica i processi che gestiscono nei diversi modi le informazioni personali che devono essere strutturate in modo da tutelare la privacy.
L'azienda deve sempre avere sotto controllo la catena di gestione dei dati (chi tratta il dato, perché, con quali strumenti e garanzie di sicurezza) perché in caso di una violazione dei sistemi o di un errore umano che portino alla perdita di dati, deve poter capire cosa è successo, tutelare i diritti degli interessati e attribuire le giuste responsabilità.
Privacy by default corrisponde al normale funzionamento dei processi definiti. Tutti i sistemi che gestiscono le informazioni devono cioè essere impostati perché l'uso dei dati sia corretto di default, in pratica eseguito solo ed esclusivamente nei casi espressamente previsti, dal personale autorizzato e con i passi corretti. Una gestione sbagliata delle informazioni deve idealmente derivare da eventi anomali, dal furto di dati all'errore umano.
Solo se si conoscono davvero tutti i processi di gestione delle informazioni, l'azienda può essere ragionevolmente certa di aver messo in atto misure tali da mitigare il rischio di perdita dei dati sensibili e di ipotetico risarcimento del danno.
Nella norma però di indica sanzioni "fino a" un certo limite e quindi prevede una certa discrezionalità nella loro valutazione. In linea di massima le sanzioni più basse saranno probabilmente legate alle violazioni per così dire "strutturali", causate dell’inadempienza dell’azienda alle norme, implementando male i processi ottimali di gestione dei dati, ma senza provocare danni agli interessati (cioè gli utenti o i clienti di cui si gestiscono i dati). Le sanzioni maggiori saranno legate a danni evidenti, cosa che con tutta probabilità accadrà alle imprese che avranno ignorato il GDPR non solo nella forma ma anche nella sostanza.
In conclusione, sarà quindi importante per le aziende delineare, mettere in atto e testare le procedure, cercando di rispettare le norme senza incorrere in sanzioni che le autorità potranno effettuare valutando in maniera discrezionale lo stato di sicurezza e la "buona volontà" dell'azienda nel seguire le indicazioni del GDPR