Il primo adempimento da prendere in considerazione è senz’altro l’adozione del Registro dei trattamenti di dati personale.
L’azienda però deve comprendere l’importanza e il valore dei dati e gli ingenti danni economici legati a una perdita di informazioni, sia in ambito operativo, sia finanziario.

In questo periodo molte imprese italiane cominciano a valutare o a mettere le in atto le prime misure per portare completare il progetto di adeguamento al nuovo Regolamento europeo sulla Privacy (Regolamento Generale sulla Protezione dei Dati – GDPR ).

Ma quante lo stanno facendo nel modo corretto? Quante stanno pianificando o hanno avviato un progetto strutturato che gli consentirà, entro il 25 maggio 2018, di avere la certezza che nulla sia stato omesso o tralasciato?

Prima di partire con  il progetto di adeguamento, le aziende dovranno riflettere bene, dovranno porsi alcune domande e fare un'accurata analisi del proprio contesto aziendale, raccogliendo tutte le informazioni riguardanti non solo sé stesse (come titolari principali del trattamento dei dati) ma, se presenti, eventuali società controllate/controllanti o collegate.

Le aziende italiane dovranno muoversi in autonomia, quindi sarà necessario raccogliere tutte le informazioni che le riguardano, partendo da quelle relative a quanto fatto fino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte. Tra gli altri, le aziende dovranno analizzare i settori di business in cui operano, i Paesi in cui operano i vari titolari e responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni ottenute, le principali categorie di dati trattati, gli eventuali trattamenti terziarizzati e conseguenti nomine.

Le aziende dovranno mettere in atto una procedura in grado di mappare: organizzazione e ruoli, persone, competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento (anche se la normativa GDPR non li contempla, il Garante Privacy italiano conferma che queste figure potranno rimanere attive), processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.
Una volta raccolte tutte queste informazioni, le aziende potranno cominciare a pianificare ed organizzare la realizzazione del progetto di adeguamento, ma soprattutto, chiedersi se saranno in grado di gestire il progetto con le proprie risorse interne o se dovranno avvalersi di consulenza esterna.

E' fondamentale che le aziende comprendano l’importanza ed il valore che hanno le informazioni che sono in loro possesso (dati personali), soprattutto se relativi ai propri clienti.
Per le aziende l'interrogativo da porsi non è “Quanto mi costa adeguarmi al GDPR?” ma “Quanto costa non adeguarsi al GDPR?” o “Quanto mi costa subire una violazione e perdere informazioni ?”.
Le aziende che hanno subito negli ultimi anni violazioni e conseguenti perdite di dati, hanno perso tempo e denaro, questo è senza dubbio il problema principale, senza contare l'eventuale perdita di immagine.

Il primo adempimento che è essenziale porre in essere è l’adozione del Registro dei trattamenti di dati personali.  Quest'ultimo contempla contenuti obbligatori previsti specificamente dal GDPR, ciò non toglie che possa comprendere anche altre informazioni non obbligatorie, per garantire la piena compatibilità con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi). Tutte le informazioni raccolte nel Registro dei trattamenti,  serviranno in una fase successiva, quando andranno identificati e valutati i principali punti da colmare per essere allineati al GDPR. Andrà pertanto definito e redatto un piano di adeguamento complessivo (action plan), nonché tempi e modi di  implementazione ed il conseguente monitoraggio degli interventi previsti seguendo il seguente schema: