La normativa GDPR sulla protezione dei dati personali per le aziende del fashion

La normativa GDPR sulla protezione dei dati personali per le aziende del fashion

Entrata in vigore: maggio 2018!Nell’era dei media le aziende si trovano a dover gestire una notevole quantità di dati personali, relativi ai propri dipendenti, clienti, fornitori ed altri soggetti (collaboratori, lavoratori in cerca di occupazione ed altri ancora). La gestione di queste informazioni spesso non è semplice, e deve sottostare alle norme vigenti, in un quadro generale in continua e tumultuosa evoluzione.

A tale riguardo, a partire dal 25 maggio 2018 entrerà in vigore l’importantissimo Regolamento UE 2016/679 chiamato GDPR (General Data Protection Regulation), lo scopo del quale, a seguito di 4 anni di dibattito sul tema in sede europea, è quello di normalizzare e parificare le direttive operative per il trattamento dei dati personali delle persone fisiche residenti stabilmente o temporaneamente in Europa.

Ciò è di grande interesse per le aziende, sia italiane che internazionali, che si trovano a dover maneggiare dati personali di cittadini UE o comunque domiciliati anche a titolo temporaneo nel vecchio continente, in quanto saranno tenute a rispettare scrupolosamente il nuovo regolamento, adeguando ed aggiornando le loro procedure di gestione delle informazioni. (Sono infatti previste pesanti sanzioni per le ditte che risultassero inadempienti: ad esempio per le grandi imprese si parte da un minimo di €10mln o del 2% del fatturato annuo globale, sanzione raddoppiata per la fascia alta di infrazioni, e fatte salve eventuali conseguenze penali decise in autonomia da ogni stato membro).

Privacy dei dati personaliLe nuove regole hanno inoltre lo scopo di velocizzare il processo di introduzione nella cultura aziendale di princìpi di responsabilità riguardanti la privacy delle persone fisiche, investendo le imprese del ruolo di gestore responsabile dei dati personali (a cui fanno dunque capo attività quali la protezione delle informazioni da smarrimento, accessi indesiderati, violazioni e sottrazioni di dati, la loro amministrazione in termini di salvataggio, elaborazione e condivisione, fino alla comunicazione con terze parti qualora i dati siano stati diffusi esternamente, pur con finalità legittime).

Tutte le direttive del GDPR riguardano i dati personali, ovverosia ogni informazione concernente una persona fisica identificata o identificabile, sia direttamente che indirettamente: ciò individua uno spettro molto più ampio rispetto ai soli dati sensibili fino ad oggi considerati, e induce a porre grande attenzione sull’adeguatezza dei propri sistemi di information management. Le nuove norme sono inoltre indirizzate non solo alle organizzazioni titolari (“controller”) della gestione dei dati personali (ossia coloro che decidono le finalità ed i mezzi del trattamento delle informazioni, gli stessi che di fatto solitamente le raccolgono), ma anche ai responsabili (“processor”) della loro elaborazione (solitamente imprese terze) per conto del titolare; tutti questi soggetti sono deputati a gestire correttamente l’intero ciclo di vita delle informazioni personali (redazione di informative agli interessati, ottenimento del consenso al trattamento, sottoscrizione di misure di sicurezza e valutazione dei rischi, rendicontazione delle proprie attività, notifica delle eventuali violazioni, nomina di un “data protection officer”, implementazione di registri ad hoc, gestione della crittografia ecc.).

Information management systemsI cambiamenti di cultura aziendale e di prassi gestionale saranno talvolta radicali, ma potranno essere sfruttati dalle imprese come opportunità per crescere in termini di maturità tecnologica (oltre che di consapevolezza normativa). In quanto società di consulenza direzionale specializzata in progetti innovativi, noi di MAS saremo al fianco delle aziende per supportarle nel compiere questo importante passo, per aiutarle nell’aggiornamento di processi e procedure (gap-analisys, priority-analisys, formulazione di piani di adeguamento, investimenti in sicurezza e formazione) e nell’eventuale implementazione di sistemi di information management all’avanguardia.

L’entrata in vigore del GDPR europeo è ormai vicina, sarà cruciale non farsi trovare impreparati: solo con una pianificazione preventiva si riuscirà a guidare il cambiamento.