L’impatto dell’adeguamento GDPR sulle misure per la sicurezza nelle aziende italiane
Pubblicato su Caffe’ Digitale – The Innovation Group
A pochi mesi dalla piena applicabilità del nuovo Regolamento europeo sulla Data Protection il tema suscita ancora dibattito e suggerisce una serie di interrogativi alle imprese; primo fra tutti: come evolverà il concetto di privacy nell’ecosistema aziendale? Di conseguenza, come dovranno agire le risorse coinvolte, in particolare le Direzioni aziendali, per ridefinire i processi interni nell’ambito dell’iter di adeguamento al quadro normativo?
Per costruire un perimetro di tutela efficace, infatti, non è sufficiente un Regolamento. Occorre adottare una logica multidisciplinare, la cosiddetta Cyber Resilience, frutto della sinergia di diversi componenti: compliance, cyber security, gestione del rischio informatico, strategia di prevenzione, risposta rapida ed efficace alle minacce. Ponendo al centro del disegno la tutela delle informazioni aziendali, vera sorgente di valore nella moderna economia digitale, la GDPR rappresenta dunque il punto di partenza e il fine del sistema di governance dei dati.
Traguardo che trova in un approccio strutturato che si muove per obiettivi, lo strumento migliore per raggiungerlo. Partendo dalla gap analysis dei sistemi informativi si compie il primo passo per prendere coscienza del livello di conformità raggiunto dalla propria azienda. I risultati ottenuti consentiranno di pianificare il percorso da intraprendere per raggiungere un livello di aderenza alla norma ottimale rispetto al proprio business. Un processo di analisi che non deve trascurare l’aspetto contrattuale, sia in riferimento agli accordi pluriennali che a quelli stipulati prima del maggio 2018.
La privacy deve rappresentare uno dei perni attorno ai quali costruire piani di sviluppo e – al tempo stesso – operare una riprogettazione dei processi in essere. La GDPR impone, di fatto, un approccio estremamente lucido e concreto, obbligando ad una valutazione strutturata dell’investimento aziendale da compiere, sia in termini economici, che di tempo e risorse. Visione d’insieme e pragmatismo divengono dunque i migliori strumenti per calare la normativa all’interno del sistema aziendale e per tradurre gli adempimenti del Regolamento nei vari contesti di business. Accountability, privacy by design e privacy by default, imponendo ai titolari del trattamento di mettere in atto misure tecniche organizzative adeguate per garantire – ed essere in grado di dimostrare – sin dall’origine che ogni trattamento sia adeguato alla normativa, costituiscono i principi guida su cui basare progetti ed investimenti. Presupposti, quelli menzionati, fortemente incentivati e rafforzati dal rinnovato meccanismo sanzionatorio che può colpire le finanze aziendali fino a 20 milioni di Euro o fino al 4% del fatturato globale mondiale annuo di gruppo.
Per attuare le disposizioni previste dal Regolamento le aziende hanno a disposizione un complesso di soluzioni dall’elevato potenziale che – considerate dal punto di vista dell’Autorità Garante – possono essere lette anche come un efficace apparato strumentale per le attività di verifica. Privacy impact assessment, registri di trattamento e policy di notifica del “data breach” rappresentano le espressioni più concrete dell’evoluzione normativa verso la trasparenza e un sistema di gestione più snello e pratico da attuare. All’introduzione di tali misure va aggiunta quella che, forse più di tutte, sta muovendo le dinamiche d’impresa, ovvero l’introduzione della figura del DPO. Pur non rappresentando, nel panorama europeo, una completa novità, il Data Protection Officer – conosciuto anche come Responsabile della Protezione dei Dati – sarà il trait d’union tra impresa, soggetti interessati dal trattamento e Authority per la protezione dei dati personali, assumendo un ruolo chiave nel Privacy compliance Program dell’azienda.
