{"id":2636,"date":"2022-02-24T11:08:31","date_gmt":"2022-02-24T10:08:31","guid":{"rendered":"https:\/\/www.gdpronline.cloud\/blog\/?post_type=avada_portfolio&p=2636"},"modified":"2022-02-24T11:09:05","modified_gmt":"2022-02-24T10:09:05","slug":"le-imprese-e-il-gdpr-protezione-dei-dati-personali","status":"publish","type":"avada_portfolio","link":"https:\/\/www.gdpronline.cloud\/blog\/news\/le-imprese-e-il-gdpr-protezione-dei-dati-personali\/","title":{"rendered":"Le Imprese e il GDPR: protezione dei dati personali"},"content":{"rendered":"

Per le imprese, che siano titolari o responsabili del trattamento, la compliance al GDPR \u00e8 una questione innanzitutto organizzativa<\/strong>.
\n\u00c8 scritto chiaramente nel Regolamento UE che, al Capo IV: Titolare del trattamento e responsabile del trattamento. Sezione 1: obblighi generali. Articolo 24: responsabilit\u00e0 del titolare del trattamento. Paragrafo 1, recita testualmente: \u201c[\u2026] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate<\/strong> per garantire, ed essere in grado di dimostrare, che il trattamento \u00e8 effettuato conformemente al presente regolamento. [\u2026]\u201d.<\/em>
\nSenza un\u2019organizzazione, cio\u00e8 personale e strumenti tecnici, procedure, ruoli e responsabilit\u00e0 formalmente assegnati e tutta la formazione e l\u2019impegno del management necessari perch\u00e9 lo sforzo aziendale sia efficace, nessuna azienda pu\u00f2 assicurare la protezione dei dati personali n\u00e9 i diritti e le libert\u00e0 degli interessati.
\nQuindi, senza un adeguato sforzo organizzativo, nessuna azienda pu\u00f2 essere conforme al GDPR.
\nIn questi tre anni dal 25 maggio 2018, la compliance al GDPR \u00e8 stata, invece, considerata innanzitutto un tema da legali: l\u2019ufficio legale interno o i consulenti legali. In subordine, un tema di cyber security, l\u2019altra categoria di esperti a cui \u00e8 stata riconosciuta una competenza specifica.<\/p>\n

\"\"Il resto dell\u2019azienda ha guardato dal di fuori, felice di non essere coinvolta pi\u00f9 di tanto ed enfatizzando, in caso contrario, la specifica incompetenza sull\u2019uno o sull\u2019altro aspetto.
\nCerto, nessuna situazione \u00e8 tutta bianca o tutta nera. Ci sono aziende che hanno affrontato il tema in modo equilibrato. Ma l\u2019immagine descritta \u00e8 ragionevolmente realistica in moltissimi casi, indipendentemente dai soldi spesi, tanti o pochi, e dal consulente scelto.
\nLa difficolt\u00e0 a intervenire sull\u2019organizzazione<\/strong>, cio\u00e8 a modificare il modo di lavorare quotidiano e i contenuti professionali dei diversi ruoli \u00e8 motivata da alcune ragioni fondate e da altre riconducibili alla non adeguata percezione del problema e dunque alla sottostima della profondit\u00e0 della trasformazione digitale.
\nDi fronte alla rilevanza e alla complessit\u00e0 del tema affrontato dal GDPR, soprattutto in queste decadi di rivoluzione digitale, ci sono due vie di fuga in cui \u00e8 invitante e quasi spontaneo rifugiarsi: da un lato la sottovalutazione, cio\u00e8 la tendenza a derubricare il tema a \u201cburocrazia inutile\u201d e dall\u2019altro a esasperare i contenuti tecnico-legali cos\u00ec che solo avvocati specializzati e cyber esperti possano capirci qualcosa e occuparsene.
\nNon sono vie di fuga alternative ma complementari: quanto pi\u00f9 si esaspera il latinorum legale o tecnologico tanto pi\u00f9 si rafforzano gli alibi di chi ha buon gioco a ridurre il tema privacy allo strapotere della burocrazia improduttiva dei ministeri, dei Governi e di Bruxelles e a disinteressarsene.
\nSi creano cos\u00ec ruoli di DPO, consulente, legale d\u2019impresa che rischiano di diventare autoreferenziali, confinati nei propri ambiti aziendali e separati dal resto: questo non aiuta di certo la compliance.
\nTra le difficolt\u00e0 reali sta invece il fatto che, in un Paese di PMI ma anche di imprese medio-grandi e grandi, dove lo strato organizzativo \u00e8 sottilissimo e l\u2019organizzazione \u00e8 poco strutturata e ancor meno formalizzata, introdurre cambiamenti nel modo di operare per ragioni di compliance \u00e8 complicato.
\nNon \u00e8 un problema riconducibile ad aspetti meramente quantitativi: aumentare le risorse disponibili non \u00e8 un problema di budget solamente. Non \u00e8 facile, anche per aziende medio-grandi, trovare, motivare e trattenere competenze professionali alte e specialistiche per ruoli non sempre a tempo pieno. Adottare un software a supporto \u00e8 certamente fondamentale ma farlo funzionare nell\u2019operativit\u00e0 quotidiana reale \u00e8 un problema ulteriore che rimanda all\u2019organizzazione complessiva.
\nIl punto \u00e8 di merito e riguarda il significato della compliance al GDPR per le aziende grandi e piccole: dopo tre anni passati a produrre un\u2019informativa dopo l\u2019altra, clausole e allegati per la nomina dei responsabili del trattamento, autorizzazioni al trattamento per i dipendenti e i collaboratori, bilanciamenti di interessi e, soprattutto, una mole imponente di DPIA, spesso consistenti nell\u2019affermazione dell\u2019ovvio, \u00e8 giunto il momento, non pi\u00f9 eludibile, di accettare il fatto che la compliance, per le imprese, \u00e8 innanzitutto un tema organizzativo e che, senza una adeguata e proporzionata organizzazione, gli interventi specialistici, legali di cybersecurity o di data governance, possono risolvere solo aspetti puntuali in un certo momento ma non garantire la compliance.<\/p>\n

\"\"
\nA partire dalla necessit\u00e0 di mantenere aggiornato l\u2019imponente corpo documentale prodotto, innanzitutto il registro dei trattamenti (art. 30) e le correlate informative, per proseguire con la corretta proceduralizzazione del processo di gestione degli acquisti da fornitori responsabili di trattamento (art. 28) e per arrivare, risalendo il fluire ordinato degli articoli, all\u2019articolo 25, il secondo della sezione 1 del capo IV del GDPR, dopo quello sopra ricordato: la protezione dei dati personali fin dalla progettazione e per impostazione definita.
\nL\u2019articolo 24, citato all\u2019inizio, \u00e8 certamente uno degli articoli pi\u00f9 importanti e, al contempo, pi\u00f9 trascurati del GDPR, proprio perch\u00e9 contiene una prescrizione di natura esclusivamente organizzativa e dunque poco comprensibile e poco stimolante per legali e cybersecurity e, forse, troppo comprensibile per il management.
\n\u00c8 infatti evidente a chiunque che, dato un corpo documentale corretto e coerente per una certa organizzazione in un certo istante t0, il mantenimento di correttezza e coerenza all\u2019istante t1 dipende solo da come \u00e8 stato regolato e documentato il cambiamento intercorso nell\u2019organizzazione tra t0 e t1: il nodo cruciale del mantenimento della compliance nel tempo sta nella gestione del cambiamento che \u00e8 esattamente l\u2019oggetto dell\u2019art. 25, cio\u00e8 della data protection by design e by default<\/strong>.
\nTornando al mettere l\u2019organizzazione al centro della compliance: senza questa focalizzazione, il rischio \u00e8 di spendere per risultare comunque non conformi. Cio\u00e8, spendere senza ridurre il rischio di compliance che, peraltro, non si esaurisce nel rischio di sanzioni o di contenziosi ma contiene anche, in molti contesti, un rischio di sostenibilit\u00e0 del business stesso perch\u00e9 i dati personali ne sono sempre pi\u00f9 un asse portante e la legittimit\u00e0 e la correttezza del loro utilizzo costituiscono un tema che non pu\u00f2 essere trascurato o sottovalutato.<\/p>\n

Non \u00e8 una sfida facile e ci vuole molto buon senso, anche nell\u2019Autorit\u00e0 di Controllo, per vincerla, ma alla fine, chi l\u2019avr\u00e0 vinta, si trover\u00e0 ad aver sviluppato una cultura aziendale utile o, forse, decisiva, in tante altre sfide che aspettano le imprese italiane, a partire dalla sostenibilit\u00e0 e dal cambiamento sotteso.<\/em><\/p>\n

 <\/p>\n

Fonte: https:\/\/www.cybersecurity360.it<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Per le imprese, che siano titolari o responsabili del trattamento, la compliance al GDPR \u00e8 una questione […]<\/p>\n","protected":false},"author":5,"featured_media":2639,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","meta":{"footnotes":""},"portfolio_category":[20],"portfolio_skills":[],"portfolio_tags":[],"class_list":["post-2636","avada_portfolio","type-avada_portfolio","status-publish","format-standard","has-post-thumbnail","hentry","portfolio_category-news"],"_links":{"self":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio\/2636","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio"}],"about":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/types\/avada_portfolio"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/comments?post=2636"}],"version-history":[{"count":1,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio\/2636\/revisions"}],"predecessor-version":[{"id":2640,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/avada_portfolio\/2636\/revisions\/2640"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/media\/2639"}],"wp:attachment":[{"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/media?parent=2636"}],"wp:term":[{"taxonomy":"portfolio_category","embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/portfolio_category?post=2636"},{"taxonomy":"portfolio_skills","embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/portfolio_skills?post=2636"},{"taxonomy":"portfolio_tags","embeddable":true,"href":"https:\/\/www.gdpronline.cloud\/blog\/wp-json\/wp\/v2\/portfolio_tags?post=2636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}