Argomenti
Servizi
Home > EU Data Protection Act ...
IT
IT DE FR EN

Regolamento generale sulla protezione dei dati dell'UE

In termini di conformità, il nuovo regolamento generale europeo sulla protezione dei dati mostra nuovi requisiti. Per esempio, è possibile fornire la prova che i controlli e gli audit sono effettuati tramite certificazioni. Questo potrebbe facilitare la cooperazione, per esempio nel trattamento dei dati commissionati.

Arwid Zang e Frank Dimmendaal - 19 novembre 2017

Un'altra novità del regolamento europeo sulla protezione dei dati (GDPR), che entrerà in vigore nel 2018, è che il principio del level playing field sarà fermamente stabilito. Ciò significa che i dati raccolti nell'UE saranno soggetti al GDPR e non solo alle leggi sulla protezione dei dati del rispettivo paese, come avveniva in precedenza. Questo ha anche un impatto sulla Svizzera.

 

Un altro requisito è l'introduzione di un "Data Protection Impact Assessment" obbligatorio per i modelli di trattamento dei dati rischiosi. Secondo il GDPR, le aziende interessate devono implementare un processo per un "Privacy & Security Assessment". Finora, questo ha avuto luogo in organizzazioni su base volontaria.

Non conformità / non attuazione
Il cambiamento più importante, tuttavia, è il significativo aumento delle multe. Possono arrivare fino al quattro per cento del fatturato annuo mondiale in caso di violazioni significative del GDPR! L'inadempimento/non attuazione dei requisiti legali della legge sulla sicurezza informatica e del GDPR nasconde un potenziale di rischio enormemente alto - in termini commerciali e per la reputazione di un'azienda.

 

Se, inoltre, c'è una violazione dell'obbligo legale secondo la legge sulle società per azioni o la legge sulle società a responsabilità limitata, la direzione di un'organizzazione è direttamente confrontata con la questione della conformità. C'è anche il rischio di una violazione della conformità se le aziende interessate non implementano i requisiti della legge sulla sicurezza informatica in modo tempestivo, non segnalano incidenti di sicurezza, violano le norme del GDPR e/o non segnalano le corrispondenti violazioni della protezione dei dati.

Gestire altri rischi di conformità
La direzione di un'azienda adempie al suo obbligo organizzativo in caso di una situazione di rischio corrispondente solo se è stata creata un'organizzazione di conformità che ha lo scopo di prevenire i danni e controllare il rischio. Il tipo, la dimensione e l'organizzazione dell'azienda, i regolamenti da osservare, la presenza geografica e i casi sospetti del passato sono decisivi per la portata dell'organizzazione della compliance.

 

Di particolare importanza a questo proposito è l'implementazione di un sistema di gestione del rischio che sia adattato alle esigenze dell'organizzazione e che possa soddisfare questi requisiti. Ulteriori rischi di responsabilità sorgono - ad esempio in Germania - da sezioni della legge tedesca sui reati amministrativi (OWiG). In particolare, la sezione 130 dell'OWiG definisce gli obblighi di supervisione di un'organizzazione, in base ai quali si ritiene che un reato o un illecito aziendale sia stato impedito o reso significativamente più difficile da una supervisione appropriata:

 

  • Attenta selezione dei dipendenti e dei supervisori
  • Corretta organizzazione e distribuzione dei compiti
  • Adeguata istruzione e informazione dei dipendenti sui loro compiti e doveri
  • Sufficiente supervisione e controllo dei dipendenti
  • Intervento contro le violazioni e, se necessario, sanzione delle violazioni

 

Pertanto, non è solo per le grandi imprese, ma anche per le medie imprese, di implementare un Compliance Management System (CMS), che in primo luogo preventivamente, ma se necessario anche repressivamente, assicura l'obbligo di legalità secondo la AktG o GmbHG e riduce significativamente o evita completamente qualsiasi responsabilità per i consigli di amministrazione o gli amministratori delegati. Il valore aggiunto di un tale CMS consiste nel fatto che non si limita all'attuazione della legge sulla sicurezza informatica, ma si estende olisticamente a tutti i requisiti legali. Incorpora anche linee guida interne all'azienda, regolamenti e codici di condotta.

Standard del sistema di gestione
Nell'ambito degli standard dei sistemi di gestione, anche i requisiti per la valutazione dei rischi e delle opportunità sono aumentati notevolmente negli ultimi tempi. Le certificazioni esterne, tuttavia, creano alti standard di sicurezza nelle aziende richieste. In molti casi, ora è addirittura obbligatorio per le aziende fornire la prova di certe certificazioni, per esempio quando si assegnano contratti o si emettono bandi di gara nel settore pubblico.

 

Tra le altre cose, i seguenti regolamenti - in questo contesto - stabiliscono i requisiti essenziali di certificazione:

 

  • Gestione della qualità secondo ISO 9001
  • Gestione dei rischi secondo ISO 31000
  • Sistema di gestione della conformità secondo IDW PS 980 o ISO 19600
  • Sicurezza delle informazioni ISO/IEC 27001

 

(Visitato 82 volte, 1 visita oggi)

Altri articoli sull'argomento

Conferenza Infosec sulla sanità 2025

Barometro del rischio Allianz: Gli attacchi informatici restano il principale rischio globale per le aziende nel 2025

Forvis Mazars nomina nuovi partner in Svizzera