Cybersecurity & Privacy

GDPR, le tue procedure aziendali più a rischio

Scritto da Paolo Monini | Jul 31, 2018 10:00:00 PM

Con l’introduzione del GDPR tutte le aziende hanno cominciato a fare i conti con approcci diversi. Nonostante siano trascorsi alcuni mesi, la tensione rispetto alle novità normative sono ancora numerose. Abbiamo stilato un elenco di procedure aziendali frequenti in tutte le aziende, quindi anche nella tua, e che andrebbero verificate immediatamente.

La ragione della tensione legata al GDPR è tutta legata al fatto che la normativa detta il principio e  lascia spazio alle iniziative per rispettarlo, mentre la legge 196 che è andata in pensione prevedeva procedure specifiche. Il GDPR non dice esattamente cosa fare, ma prevede sanzioni salatissime se non si rispetta la ratio della norma.

Ecco alcuni consigli da mettere in pratica subito, in attesa dei decreti attuativi.

 

Quali sono, nella quotidianità, le bucce di banana a cui fare attenzione?

In attesa dei decreti attuativi previsti per il mese di agosto da parte del Governo, ecco quali verifiche prevedere immediatamente.

  • Invio di dati in excel aperti o “in bianco”, cioè senza la protezione della password. La soluzione potrebbe essere trasmettere un file protetto da password comunicando la password in modo separato, per esempio con una pec a parte.
  • Gestione delle buste paga: il commercialista te le invia nella casella email senza alcuna password? Le conservi in modo incauto? Una verifica andrebbe fatta anche sui fascicoli relativi ai dipendenti per stabilire il livello di sicurezza dell’archivio (che sia cartaceo o digitale).

Le email interne sono un problema?

In azienda  spesso le comunicazioni interne contengono dati e comunicazioni personali e di clienti, o di fornitori. Su questo fronte ti tranquillizzo: le email interne sono escluse dalle prescrizioni proprio per la loro natura e riservatezza. 

 

Come verificare i processi interni?

La risposta è coinvolgendo i dipendenti.

Come imprenditore o singolo responsabile del dato in azienda non puoi essere ovunque e conoscere tutti i processi che i dipendenti elaborano anche da sé per organizzare meglio le proprie scadenze. 

In caso di verifiche capita agli imprenditori di sorprendersi perché alcuni dipendenti avevano comunicato e fatto uscire dall'azienda dati riservati e sensibili in buonissima fede, magari per un report periodico in accordo con un cliente o un fornitore. Ogni dipendente ha, ed è giusto che abbia, dei proprio processi ed è per questo che deve sapere quali sono le "spie" indicatrici di potenziali problemi.

È necessario formare tutti i dipendenti ad alzare la mano quando si notano processi che non sono GDPR compliance come trasmissioni excel aperti di documenti con dati da proteggere (buste paga, documenti, fatturazioni, dichiarazioni fiscali con i nomi dei figli in detrazione, eccetera).