Scritto da Ana Canteli il 22 febbraio 2021
La protezione dei dati personali è uno dei compiti più critici che qualsiasi organizzazione deve affrontare. Non importa se l'entità in questione è impegnata nella produzione di frutta e verdura, nella silvicoltura o offre servizi medici.
Se crei, ricevi o gestisci dati personali, devi rispettare le normative sulla protezione dei dati ; dall'essere al passo con le leggi vigenti per sviluppare una strategia di compliance, che garantisca il rispetto delle normative.
Questo è un problema che riguarda tutti, ma non allo stesso modo o allo stesso modo, il che lo rende un problema complesso che può diventare un vero grattacapo se la privacy non viene presa in considerazione dalla progettazione, portando potenzialmente a milioni di $ in sanzioni per non- conformità.
Il rispetto delle normative sulla protezione dei dati è una parte della sicurezza dei dati focalizzata sulla corretta gestione dei dati, tutto ciò che riguarda la notifica, il consenso, il controllo, l'assegnazione e il trattamento dei tuoi dati e il rispetto delle normative vigenti. In particolare, la conformità alla protezione dei dati cerca di definire se e come le terze parti lavorano con i dati elaborati , incluso come i dati vengono raccolti, archiviati e gestiti secondo le normative vigenti. E a questo proposito, è essenziale sapere quali norme sulla protezione dei dati personali ci riguardano. Non è lo stesso gestire l'interessato da cittadini dell'UE ( conformità GDPR ) negli Stati Uniti ( HIPAA , CCPA) o altri paesi.
Il software di gestione dei documenti è della massima importanza quando si implementa un sistema di compliance alla protezione dei dati che prevenga i rischi derivanti da non conformità o violazioni dei dati , consentendo al contempo di concentrare gli sforzi sulle attività produttive dell'azienda.
Questo è tanto più importante quanto più i confini nazionali o sovranazionali attraversano un'azienda, poiché le organizzazioni devono monitorare tutti i requisiti di privacy. Se disponiamo di un sistema di gestione dei documenti che contribuisce all'attuazione di una solida politica di gestione dei dati, sarà più facile soddisfare ulteriori requisiti della legislazione nazionale
L'analisi dell'architettura di gestione delle informazioni in tutta l'entità è necessaria per garantire la sicurezza delle informazioni personali. Se il consiglio di amministrazione dà la priorità a questo aspetto, la maggior parte della battaglia per il rispetto della protezione dei dati personali è vinta. Ciò può anche significare stipulare accordi con terze parti in merito al trattamento dei dati personali. Una cosa è sapere dove si trovano i nostri database con informazioni sensibili, ma allo stesso tempo è necessario rendersi conto che possono esserci dati personali elaborati in copie di backup, nel cloud, nelle e-mail e in molti altri luoghi. Tutto questo conta quando si tratta di proteggere i dati personali da violazioni dei dati e persino dalla distribuzione accidentale.
Deve essere facile per i nostri utenti o clienti richiedere e ricevere le informazioni che abbiamo su di loro. Processi come correggere o aggiornare i tuoi dati, eliminarli e persino sospendere la raccolta dei dati di qualcuno devono essere di routine e di facile esecuzione. Avere un responsabile del trattamento può essere molto utile per gestire correttamente l'accesso, la rettifica o la cancellazione dei dati personali. Il titolare del trattamento sorveglierebbe anche l'attuazione delle misure tecniche. Va sempre tenuta presente l'esistenza di diverse categorie particolari di dati. In questo senso, dobbiamo lavorare con sistemi di gestione documentale scalabili che si adattino alle mutevoli esigenze di quantità e qualità.
Se prendi decisioni sui dati personali in base a processi, questi devono essere allineati alla protezione dei diritti. Il sistema informativo deve comprendere anche funzionalità di audit a diversi livelli per garantire la tracciabilità delle procedure e delle politiche. In caso di deviazione o non conformità, è necessario identificare l'incidente e neutralizzarlo o correggerlo in un altro modo conveniente. Sarebbe l'ideale se questo sistema include una funzionalità di reporting per ottenere informazioni sugli aspetti che possono interessarli.
È un altro principio fondamentale della gestione della protezione dei dati personali; In altre parole, le persone hanno il diritto alla cancellazione, all'anonimizzazione dei propri dati personali o all'applicazione di uno pseudonimo; ma allo stesso tempo, le organizzazioni devono fare attenzione a non cancellare i dati che dovrebbero essere conservati, per motivi normativi o legali (principio di integrità). In questo senso, i sistemi di gestione documentale dovrebbero avere un piano di archiviazione , che aiuti a gestire il programma di conservazione e l'eliminazione finale dei dati personali.
Ridurre la quantità di informazioni che memorizziamo è una misura semplice e sufficiente per proteggerci dall'impatto della protezione dei dati. Un altro modo per applicare questa misura è conoscere il periodo di cui abbiamo bisogno per salvare tali dati.
Il basso costo dei supporti di memorizzazione può portarci a salvare informazioni in quantità maggiore e più a lungo del necessario, pensando di poter ammortizzare tali informazioni per nuovi scopi. Ma grazie al nuovo quadro normativo più preciso in tutti gli aspetti della privacy, questa non è più considerata solo una fonte di opportunità ma può anche essere fonte di infrazioni legali.
Conclusione
Si consiglia di nominare una persona responsabile della sicurezza delle informazioni o della riservatezza dei dati. Molto probabilmente, hai già persone e reparti che hanno queste responsabilità. Tuttavia, dato che disponiamo di un quadro giuridico che richiede la nomina di responsabili della protezione dei dati ( GDPR, HIPAA, CCPA ), vale la pena riconoscere la necessità e fornire i mezzi per affrontarla, come un sistema di gestione dei documenti che protegga la privacy dai progettazione del proprio software.