GDPR, conto alla rovescia. Adeguarsi è possibile?

08/05/2018
di Redazione Colin Partners

Il testo sulla protezione dei dati personali entra definitivamente in vigore a maggio di quest’anno ma non contiene esplicite guidelines: l’obiettivo è spostare l’attenzione sulla gestione di un rischio che può variare molto in funzione del settore in cui opera l’azienda o l’organismo che ha a che fare con le informazioni. Un approccio familiare a chi si occupa di cyber security, ma che non si esaurisce in uno o più tool da implementare. Ecco le cose essenziali da conoscere, tenendo conto di un aspetto critico per una normativa che sanziona in modo molto severo la “non adeguatezza”: il percorso verso la compliance è lungo, in molti casi oneroso (non solo in termini di costi) e molte aziende sono in ritardo ed esposte al rischio-sanzioni. Ma per fortuna possiamo contare su un ampio mercato di soluzioni e servizi di consulenza.

Privacy by default, accountability, impact analysis, obbligo di denuncia, data minimization e retention. E così via. Il regolamento europeo sulla protezione dei dati personali (GDPR) conferma e rafforza diversi trend normativi già affermatisi nel corso del tempo in Europa, con una forte chiamata in corresponsabilità delle aziende e un sistema di sanzioni – vere e proprie multe espresse in percentuale dei fatturati aziendali – che sulla carta può diventare molto oneroso e difficilmente aggirabile. Il legislatore europeo ha sicuramente agito in linea di continuità con il passato, ma allo stesso tempo si rivolge alle imprese e ai responsabili delle loro infrastrutture informatiche, chiedendo un impegno ancora maggiore. Non solo in termini di tracciabilità delle informazioni – con una riduzione dei margini di rischio di esposizione delle stesse, per esempio attraverso nuovi metodi di anonimizzazione dei dati (disaccoppiamento tra informazioni generiche e informazioni anagrafiche), riduzione del volume complessivo delle informazioni conservate e della loro ridondanza, rimozione delle informazioni non più utili alla conduzione del business – ma anche in termini di capacità di individuare rapidamente le violazioni avvenute, che secondo il nuovo regolamento devono essere tempestivamente e volontariamente segnalate alle autorità centrali.

Compliance in chiaroscuro

Binomio inscindibile

Una grossa area di incertezza percepita dalle organizzazioni che sono tenute a rispettare il regolamento, riguarda proprio le contromisure vere e proprie da adottare. Al momento, dal legislatore non sono ancora arrivate linee guida precise o best practice da implementare e come vedremo in seguito – dall’intervista con l’avvocato Valentina Frediani, founder e CEO dello studio Colin & Partners che abbiamo coinvolto in questo dossier – l’assenza di un preciso codice di comportamento è stata per così dire ingegnerizzata da un legislatore che ha voluto fissare una serie di obiettivi e presupposti, lasciando a chi deve ottemperare al regolamento, uno spazio di manovra che agisce anche da stimolo alla lettura e alla comprensione di un testo, che secondo Valentina Frediani è molto più esplicito del temuto. Come affermava Alessandro Cecchetti, general manager dello stesso studio specializzato in consulenza legale informatica, nel corso della tavola rotonda organizzata da Data Manager proprio per fare chiarezza sull’adozione del GDPR, la mancanza di precise norme di comportamento invita a rispettare l’unica regola possibile: leggere con cura il testo, individuare i punti di aderenza alla propria realtà procedurale e infrastrutturale e implementare di conseguenza le necessarie misure tecniche e organizzative. Si andrà a creare così – sottolineava Cecchetti – il binomio inscindibile voluto dal legislatore, quello tra il dato digitale inserito nel contesto delle infrastrutture e delle applicazioni informatiche e l’informazione considerata dal punto di vista del business e dei suoi processi.

Alla base del principio di responsabilizzazione che ispira il testo della normativa, c’è l’obbligo da parte dell’azienda di essere in grado di dimostrare l’adeguatezza con la quale è stato affrontato il tema della protezione del dato digitale. In altre parole, l’organizzazione è tenuta a stendere un accurato piano di valutazione da cui potrà derivare l’implementazione di contro misure sia tecniche (come per esempio l’uso della cifratura delle informazioni, o di tool che consentano un uso anonimo del dato personale) sia organizzative (per esempio la gestione improntata a una minore ridondanza dei dati e all’eliminazione di tutto ciò che non ha più utilità per il business). Un’altra forte motivazione dell’estensore della nuova direttiva europea è quella di evitare la definizione di norme preconfezionate e “one size”, proprio per venire incontro all’esigenza di una protezione più adatta allo specifico settore di attività. Uno dei tratti distintivi della compliance consiste proprio nello studio dei trattamenti e delle peculiarità che caratterizzano un’azienda di produzione industriale o un istituto di credito. Questo inevitabilmente comporta la capacità di analisi delle singole situazioni e la creazione di un percorso su misura. In una ottica che volutamente il legislatore ha inteso di vero e proprio risk management.

Continua a leggere su DataManager.it

Riproduzione riservata ©

ALTRE NEWS

Storica sentenza spagnola: i siti peer to peer non violano il diritto d’autore

Proprio mentre il governo Zapatero lavora su un irrigidimento delle norme sul diritto d´autore, il tribunale di Barcellona  sorprende tutti e in particolar modo i… Leggi Tutto

Il regolamento informatico aziendale

Pubblicato su Pm@business – Aprile 2004 L’illecito utilizzo della strumentazione informatica aziendale da parte dei dipendenti, può generare in capo all’azienda, una serie di responsabilità… Leggi Tutto

Internet of things, privacy e protezione dei dati

Assistiamo, ormai con crescente frequenza, all’incremento dell’utilizzo dell’intelligenza artificiale (AI), fenomeno sintetizzabile come “macchine che riproducono le funzioni della mente umana”. Una tecnologia che trova… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form