Lezioni apprese dal primo anno di applicazione del GDPR: Case study e consigli per le aziende – Parte 2
Dopo aver esaminato alcuni case study e fornito consigli pratici per le aziende nella Parte 1, continueremo a discutere ulteriori lezioni apprese e suggerimenti per migliorare la conformità al GDPR.
Case study 3: Marriott International
Nel novembre 2018, Marriott International ha scoperto una violazione di dati che ha coinvolto circa 339 milioni di clienti, con informazioni personali sensibili come numeri di passaporto e dettagli di carte di credito compromessi. L’azienda ha notificato l’incidente alle autorità di controllo, ma nel luglio 2019, l’ICO ha annunciato un’ammenda di 99 milioni di sterline (circa 110 milioni di euro) per la violazione del GDPR.
Lezioni apprese:
- Le violazioni di dati su larga scala possono portare a sanzioni significative;
- È fondamentale monitorare e proteggere i dati personali, anche in caso di acquisizioni aziendali (la violazione di Marriott è stata ricondotta a una catena alberghiera acquisita nel 2016);
- La cooperazione con le autorità di controllo è essenziale per mitigare l’impatto delle violazioni dei dati.
Case study 4: Haga Hospital
Nel giugno 2019, l’autorità olandese per la protezione dei dati, Autoriteit Persoonsgegevens, ha multato l’Haga Hospital per 460.000 euro a causa di insufficienti misure di sicurezza per proteggere i dati personali dei pazienti. L’ospedale aveva subito una violazione di dati nel 2018, quando un dipendente aveva accesso non autorizzato alle cartelle cliniche di una celebrità locale.
Lezioni apprese:
- Le organizzazioni del settore sanitario, che trattano dati sensibili, devono prestare particolare attenzione alla sicurezza dei dati;
- È importante implementare misure di sicurezza per prevenire accessi non autorizzati, come l’autenticazione a due fattori e la limitazione degli accessi ai dati;
- Le violazioni dei dati possono danneggiare la reputazione delle organizzazioni e minare la fiducia dei pazienti.
Ulteriori consigli per le aziende
4. Garantire la trasparenza e la chiarezza nella comunicazione delle pratiche di trattamento dei dati
Le aziende devono fornire informazioni chiare, concise e facilmente accessibili sulle loro pratiche di trattamento dei dati, comprese le finalità del trattamento, i destinatari dei dati e i diritti degli individui. Questo può essere fatto attraverso una politica sulla privacy aggiornata e facilmente comprensibile.
5. Gestire i fornitori e i partner con attenzione
Le aziende devono assicurarsi che i loro fornitori e partner rispettino il GDPR e proteggano adeguatamente i dati personali. È importante stipulare accordi di elaborazione dei dati che delineano le responsabilità e le obbligazioni di ciascuna parte.
6. Prepararsi a rispondere alle richieste degli individui
Il GDPR prevede diversi diritti per gli individui, tra cui il diritto di accesso, rettifica, cancellazione e limitazione del trattamento. Le aziende devono essere in grado di rispondere tempestivamente a queste richieste e garantire che i loro processi interni siano adeguati per gestirle.
7. Monitorare e aggiornare continuamente le pratiche di conformità
La conformità al GDPR è un processo continuo che richiede un monitoraggio e un aggiornamento regolare delle politiche, delle procedure e delle misure di sicurezza. Le aziende devono essere pronte ad adattarsi alle nuove sfide e alle modifiche normative per garantire una protezione continua dei dati personali.
In conclusione, il primo anno di applicazione del GDPR ha offerto preziose lezioni per le aziende nella gestione dei dati personali e nella conformità alle normative. Analizzando i case study e seguendo i consigli pratici forniti in questo articolo, le aziende possono migliorare la loro conformità al GDPR e garantire una protezione efficace dei dati personali dei cittadini europei.