Per preparare GDPR, è necessario un dipartimento IT per garantire la protezione dei dati per il business.
Per preparare GDPR, è necessario un dipartimento IT per garantire la protezione dei dati per il business.
Il regolamento generale sulla protezione dei dati non richiede una notevole conoscenza tecnica. Avrebbero bisogno di conoscere l'infrastruttura tecnica delle organizzazioni e tutte le posizioni in cui i dati personali sono archiviati, elaborati e in transito, rendendo più semplice la gestione delle richieste di accesso per i soggetti.
La società avrebbe bisogno di una ragionevole comprensione della sicurezza, garantendo adeguati controlli e procedure di sicurezza. Ciò vale anche per i dati personali archiviati su carta, assicurarsi che siano anche sicuri.
Da GDPR, articolo 24 (corsivo aggiunto):
- Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.
- Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.
GDPR afferma che i dati personali devono essere presi seriamente, ma la quantità di tempo / sforzo / denaro che ci si aspetta spenda per proteggere questi dati non deve essere eccessiva. Tutto dovrebbe essere "proporzionato" o "appropriato". Il problema è che nessuno ti dirà cosa è appropriato. L'installazione di uno scanner per il corpo di fronte alla stanza del server sarà eccessiva o no? Ti diranno che dipende da cosa sono usati quei server o da quanti soldi hai da perdere. E poiché temo che nessuno ti dirà per certo quanto valgono i tuoi dati (quale sarebbe il valore di un numero di telefono? Chi lo sa?), Penso che tutto si riduca alle risorse che hai. Quindi se possiedi una società da molti milioni di dollari e c'è una violazione dei dati, non puoi inventare una scusa del tipo "Mi dispiace signor ufficiale, non avevamo il tempo e il denaro per pagare una persona esperta per cambiare le password predefinite del WIFI! " E se sei un freelance che guadagna solo pochi dollari l'anno, non penso che ti aspetteresti di installare uno scanner per tutto il corpo davanti alla tua camera per proteggere i dati personali dei tuoi clienti.
Alcuni esempi che probabilmente si applicano a quasi tutti:
Se il reparto IT (e tutta l'azienda) ha seguito le solite best practice, probabilmente non c'è molto altro da fare.
Questo è il mio modo di vedere, in generale, ma per me la situazione non è ancora chiara, anche se la legge dovrebbe essere efficace in pochi giorni, perché ci sono ancora molti casi speciali che devono essere chiarito (si spera, prima o poi) dai legislatori o dagli organismi responsabili in ciascun paese dell'UE. Per esempio, in futuro il legislatore o qualche autorità nel vostro paese (nell'UE) potrebbe decidere che per la conformità GDPR alcuni tipi specifici di aziende devono seguire alcuni tipi di linee guida specifiche (come alcuni standard ISO, come suggerito da eckes in un commento) .
Leggi altre domande sui tag audit eu-data-protection