Di che cosa si tratta?
Il nuovo regolamento generale sulla protezione dei dati sostituisce le disposizioni valide dal 1995 e mira a tutelare meglio la privacy degli utenti internet. Il regolamento è entrato in vigore il 24 maggio 2016 e dovrà essere applicato in modo coerente dopo un periodo di transizione di due anni con decorrenza dal 25 maggio 2018. Le disposizioni riguardano tutte le imprese che
- elaborano dati relativi a persone provenienti dall’UE
- analizzano i dati relativi a persone provenienti dall’UE
- offrono beni e servizi a persone dell’UE
Non fa alcuna differenza se i dati sono elaborati all’interno dell’Unione europea o in Svizzera. Ad esempio, sono concretamente interessati da tale provvedimento gli esportatori, le società di vendita per corrispondenza o i gestori di piattaforme di vendita online. Chi viola le direttive incorre in sanzioni.
Esperienze di Ronal SA
Ronal SA con sede a Härkingen (SO) rientra tra i produttori leader sul mercato per ruote in lega leggera e rifornisce in qualità di produttore OEM tutte le rinomate case automobilistiche a livello mondiale. Sulla base di tale modello di business internazionale, Giovanna de Boers, responsabile di progetto presso Ronal SA, si è occupata intensamente del nuovo regolamento generale sulla protezione dei dati.
Giovanna de Boers, fino a che punto ritiene che Ronal SA sia interessata dalle norme UE in materia di protezione dei dati?
In qualità di produttore ed offerente a livello mondiale di ruote in lega leggera per automobili e veicoli commerciali abbiamo sia clienti, sia collaboratori nell’Unione europea. Di conseguenza siamo tenuti a osservare le norme UE in materia di protezione dei dati per elaborare i dati dei clienti e dei collaboratori.
Quali adeguamenti ha dovuto, dovrà ancora apportare all’interno dell’azienda?
Ronal ha gestito finora la protezione dati “ad hoc” e in maniera piuttosto reattiva con risorse limitate. Abbiamo anche iniziato a realizzare un’organizzazione adeguata per la protezione dei dati mediante la revisione del nuovo regolamento generale sulla protezione dei dati (GDPR). Sono stati analizzati e catalogati i flussi di dati e i sistemi. Inoltre è stata effettuata un’analisi Fit-Gap per individuare le misure attuative necessarie. Abbiamo esaminato anche i contratti con offerenti terzi per verificarne la conformità al nuovo regolamento generale sulla protezione dei dati, apportando gli adeguamenti necessari, abbiamo regolato contrattualmente il trasferimento di dati transnazionali, registrato tutte le attività commerciali, emesso le relative direttive e adeguato i processi interni. Mediante le valutazioni d’impatto sulla protezione dei dati abbiamo chiariamo le esigenze di comunicazione e i dati obbligatori. E infine, per garantire che i collaboratori siano informati in merito ai diritti e ai doveri e che rispettino le regole, organizzeremo prossimamente corsi di formazione e audit.
Quali suggerimenti potrebbe fornire ad altre PMI svizzere in merito al regolamento sulla protezione dei dati?
Le imprese non devono sottovalutare l’impegno mirato a soddisfare i requisiti delle norme in materia di protezione di dati dell’Unione europea. Spesso le norme in materia di protezione di dati non sono ben chiare e necessitano di molte decisioni sui valori. Pertanto è importante implementare un progetto ben strutturato, fornire ai membri dei progetti un mandato chiaro e pianificare tempo sufficiente per i processi interni nell’organizzazione al fine di giungere tutti alla stessa meta.
Le PMI non dovrebbero temere i requisiti del nuovo regolamento generale sulla protezione dei dati dell’Unione europea. Presso Ronal, ad esempio, abbiamo constatato nel corso del progetto di attuazione che molti aspetti erano stati già intuiti ed eseguiti correttamente. Ciò che mancava nella maggior parte dei casi erano direttive scritte e chiare descrizioni dei processi, in modo da assicurare il rispetto delle norme di legge.
È consigliabile eseguire un confronto tra la situazione effettiva e le norme in materia di protezione dei dati, per individuare eventuali lacune e attribuire priorità alle misure da adottare.
A seguito della complessità e della vastità della materia, vale la pena incaricare un esperto esterno che conosca i requisiti della protezione dei dati e che aiuti l’azienda a colmare le lacune nel quadro di un approccio basato sul rischio.
