Cerca e trova immobili

BLOG ATEDGDPR: cosa fare da oggi

28.05.18 - 14:28
Ma cosa devono fare le aziende in Svizzera da lunedì 28 Maggio, considerando che dallo scorso venerdì 25 il GDPR e il suo impianto sanzionatorio sono applicabili?
GDPR: cosa fare da oggi

NEWSBLOG
Rubriche argomentali a pagamento curate da aziende e inserzionisti esterni

Ma cosa devono fare le aziende in Svizzera da lunedì 28 Maggio, considerando che dallo scorso venerdì 25 il GDPR e il suo impianto sanzionatorio sono applicabili?

Si è svolto venerdì scorso presso l’USI l’interessantissimo evento “GDPR: il giorno del Big Bang”, con ospiti di grande rilievo del mondo istituzionale, legale, accademico, organizzato da ated ICT-Ticino, Supsi, Clusis con il sostegno di Usi e sponsorizzato da Security Lab Sagl.

La manifestazione è stata un grande successo, con circa 120 partecipanti, e ha permesso di iniziare a fare chiarezza sul tema a dir poco “bollente” del GDPR e sulla sua applicazione in Svizzera.


L’evento è stato anche ripreso la sera stessa dalla RSI, che ha dedicato alla manifestazione il primo servizio del telegiornale delle 20:00.

Ma cosa devono fare le aziende in Svizzera da lunedì 28 Maggio, considerando che dallo scorso venerdì 25 il GDPR e il suo impianto sanzionatorio sono applicabili?

Chiediamo lumi all’Ing. Siro Migliavacca, General Manager di Security Lab Advisory SAGL, società del gruppo Security Lab, attiva nel campo della Security Governance and Compliance (FINMA, GDPR, ISO 27001, NIST, business continuity, cyber risk).

Ing. Migliavacca, abbiamo capito alla conferenza che le aziende svizzere devono aderire al GDPR; qual è lo stato dell’arte?

Non tutte le aziende svizzere sono obbligate ad adeguarsi da subito alla nuova normativa europea; vi sono tuttavia molti casi nei quali questo si rende necessario e altri casi in cui sarebbe decisamente opportuno.

Quali sono gli ambiti nei quali è necessario procedere ad un adeguamento al GDPR?

Un’azienda svizzera deve adeguarsi al GDPR se ha una stabile organizzazione in territorio comunitario, se rivolge in modo sostanziale servizi a clienti nell’Unione Europea, se raccoglie massivamente informazioni di persone che si trovano nell’Unione, attraverso ad esempio il proprio sito internet, ed effettua la profilazione. Questo è quanto indicato dall’art.3 del GDPR; ma in realtà ci sono anche altri casi, non esplicitamente indicati negli articoli del GDPR. Per esempio, il caso in cui un’azienda svizzera venga nominata Responsabile del trattamento da un’azienda cliente che ha sede in UE; di fatto, questo comporta che l’azienda svizzera debba adottare i requisiti del GDPR quasi totalmente.

Un’azienda svizzera che offre i suoi servizi in Svizzera, ma che ha dipendenti frontalieri e che raccoglie i curricula di potenziali candidati comunitari, deve adeguarsi al GDPR?

No, non deve fare nulla. Deve però fare attenzione qualora avesse come clienti cittadini europei; in tal caso è opportuno analizzare bene che tipo di trattamenti l’azienda effettua sui dati di quei soggetti. Suggeriamo quindi di fare comunque una valutazione per verificare se sia necessario l’adeguamento al GDPR. Inoltre, non dobbiamo dimenticare che la legge sulla privacy Svizzera (LPD) è in fase di riscrittura e verrà promulgata nei prossimi mesi. Si sa per certo dagli ambienti

legali e giuridici che ricalcherà in buona sostanza il GDPR, seppure con l’usuale “Swiss finish”. Pertanto, suggeriamo alle aziende di iniziare comunque il percorso di adeguamento fin da subito, partendo dall’attività di assessment.

Che cosa vuole tutelare il GDPR?

Il GDPR intende tutelare i diritti e le libertà delle persone fisiche con riguardo al trattamento dei loro dati personali. Questo si traduce nel diritto di poter conoscere chi raccoglie e utilizza i propri dati personali e per quale finalità; nel sapere se l’azienda alla quale viene prestato il consenso al trattamento, trasferisca i propri dati ad altri, eventualmente in paesi extra europei; nel poter richiedere che i propri dati personali vengano rimossi o cancellati in parte; nel poter indicare delle limitazioni ai trattamenti. Il fine secondario del GDPR, ma non per questo meno importante, è forzare le aziende a fare passi avanti nella cultura della protezione dei dati in generale. Le aziende fanno ancora troppo poco per proteggersi seriamente dai rischi cyber, e i risultati di questa “pigrizia” si leggono tutti i giorni sui giornali.

Cosa suggerisce di fare alle aziende domani?

Affrontate con serenità il GDPR rivolgendosi a consulenti di provata competenza e professionalità, che possano mostrare referenze e case study. Un buon consulente può indirizzarle in modo efficace a fare i passi giusti, nell’ottica di creare un abito su misura per l’azienda. Non c’è una ricetta GDPR uguale per tutti, è necessario definire e realizzare una compliance adeguata al singolo caso. Un modo per approfondire la propria conoscenza sull’argomento è partecipare a corsi di formazione. Ci tengo a segnalare il corso che terremo in collaborazione con l’associazione ATED ICT Ticino il prossimo 7 Giugno, nella sala corsi ATED di Taverne, presso la Omnibus Engineering. Si tratta di un corso introduttivo di una giornata con l’obiettivo di fornire il kit iniziale di competenze per comprendere il GDPR e per sapere come avviare al meglio il progetto di adeguamento in azienda.


Questo articolo è stato realizzato da ated - Associazione Ticinese Evoluzione Digitale, non fa parte del contenuto redazionale.