GDPR, conto alla rovescia. Adeguarsi è possibile?

08/05/2018
di Leonardo

Il testo sulla protezione dei dati personali entra definitivamente in vigore a maggio di quest’anno ma non contiene esplicite guidelines: l’obiettivo è spostare l’attenzione sulla gestione di un rischio che può variare molto in funzione del settore in cui opera l’azienda o l’organismo che ha a che fare con le informazioni. Un approccio familiare a chi si occupa di cyber security, ma che non si esaurisce in uno o più tool da implementare. Ecco le cose essenziali da conoscere, tenendo conto di un aspetto critico per una normativa che sanziona in modo molto severo la “non adeguatezza”: il percorso verso la compliance è lungo, in molti casi oneroso (non solo in termini di costi) e molte aziende sono in ritardo ed esposte al rischio-sanzioni. Ma per fortuna possiamo contare su un ampio mercato di soluzioni e servizi di consulenza.

Privacy by default, accountability, impact analysis, obbligo di denuncia, data minimization e retention. E così via. Il regolamento europeo sulla protezione dei dati personali (GDPR) conferma e rafforza diversi trend normativi già affermatisi nel corso del tempo in Europa, con una forte chiamata in corresponsabilità delle aziende e un sistema di sanzioni – vere e proprie multe espresse in percentuale dei fatturati aziendali – che sulla carta può diventare molto oneroso e difficilmente aggirabile. Il legislatore europeo ha sicuramente agito in linea di continuità con il passato, ma allo stesso tempo si rivolge alle imprese e ai responsabili delle loro infrastrutture informatiche, chiedendo un impegno ancora maggiore. Non solo in termini di tracciabilità delle informazioni – con una riduzione dei margini di rischio di esposizione delle stesse, per esempio attraverso nuovi metodi di anonimizzazione dei dati (disaccoppiamento tra informazioni generiche e informazioni anagrafiche), riduzione del volume complessivo delle informazioni conservate e della loro ridondanza, rimozione delle informazioni non più utili alla conduzione del business – ma anche in termini di capacità di individuare rapidamente le violazioni avvenute, che secondo il nuovo regolamento devono essere tempestivamente e volontariamente segnalate alle autorità centrali.

Compliance in chiaroscuro

GDPRIl problema è che la linea di partenza per la definitiva entrata in vigore del GDPR (dopo un periodo transitorio che non prevedeva sanzioni), fissata per il prossimo maggio, è alle porte mentre gli obiettivi della compliance sembrano ancora molto lontani. «Dalle indagini che IDC ha condotto negli ultimi diciotto mesi su questo tema – afferma Giancarlo Vercellino, research and consulting manager di IDC Italia – si evidenzia un procedere flemmatico verso la scadenza del periodo transitorio». Quasi il 60% delle imprese sopra i dieci addetti, spiega Vercellino, dichiara di trovarsi in uno stadio avanzato di adeguamento ai nuovi termini della normativa in vista dell’imminente scadenza di maggio 2018, ma ben il 40% afferma di trovarsi ancora in una fase piuttosto preliminare, non avendo ancora pianificato una specifica roadmap oppure essendo appena partiti con le prime valutazioni. Quel che più conta – e forse dovrebbe preoccupare – è che «meno del 5% delle imprese sostiene di avere già provveduto a tutti gli adempimenti».

Binomio inscindibile

Una grossa area di incertezza percepita dalle organizzazioni che sono tenute a rispettare il regolamento, riguarda proprio le contromisure vere e proprie da adottare. Al momento, dal legislatore non sono ancora arrivate linee guida precise o best practice da implementare e come vedremo in seguito – dall’intervista con l’avvocato Valentina Frediani, founder e CEO dello studio Colin & Partners che abbiamo coinvolto in questo dossier – l’assenza di un preciso codice di comportamento è stata per così dire ingegnerizzata da un legislatore che ha voluto fissare una serie di obiettivi e presupposti, lasciando a chi deve ottemperare al regolamento, uno spazio di manovra che agisce anche da stimolo alla lettura e alla comprensione di un testo, che secondo Valentina Frediani è molto più esplicito del temuto. Come affermava Alessandro Cecchetti, general manager dello stesso studio specializzato in consulenza legale informatica, nel corso della tavola rotonda organizzata da Data Manager proprio per fare chiarezza sull’adozione del GDPR, la mancanza di precise norme di comportamento invita a rispettare l’unica regola possibile: leggere con cura il testo, individuare i punti di aderenza alla propria realtà procedurale e infrastrutturale e implementare di conseguenza le necessarie misure tecniche e organizzative. Si andrà a creare così – sottolineava Cecchetti – il binomio inscindibile voluto dal legislatore, quello tra il dato digitale inserito nel contesto delle infrastrutture e delle applicazioni informatiche e l’informazione considerata dal punto di vista del business e dei suoi processi.

Alla base del principio di responsabilizzazione che ispira il testo della normativa, c’è l’obbligo da parte dell’azienda di essere in grado di dimostrare l’adeguatezza con la quale è stato affrontato il tema della protezione del dato digitale. In altre parole, l’organizzazione è tenuta a stendere un accurato piano di valutazione da cui potrà derivare l’implementazione di contro misure sia tecniche (come per esempio l’uso della cifratura delle informazioni, o di tool che consentano un uso anonimo del dato personale) sia organizzative (per esempio la gestione improntata a una minore ridondanza dei dati e all’eliminazione di tutto ciò che non ha più utilità per il business). Un’altra forte motivazione dell’estensore della nuova direttiva europea è quella di evitare la definizione di norme preconfezionate e “one size”, proprio per venire incontro all’esigenza di una protezione più adatta allo specifico settore di attività. Uno dei tratti distintivi della compliance consiste proprio nello studio dei trattamenti e delle peculiarità che caratterizzano un’azienda di produzione industriale o un istituto di credito. Questo inevitabilmente comporta la capacità di analisi delle singole situazioni e la creazione di un percorso su misura. In una ottica che volutamente il legislatore ha inteso di vero e proprio risk management.

Continua a leggere su DataManager.it

Riproduzione riservata ©

ALTRE NEWS

La diffamazione on line

Le statistiche comprovano come tra i reati commessi sulla rete, spicchi, assieme alle violazioni in materia di diritto di autore e privacy, la diffamazione. Ex… Leggi Tutto

Intervista Forbes
Colin & Partners tra le 100 top legal in Italia secondo Forbes

Forbes Italia ha selezionato 100 società top nel mondo legale e della consulenza. Tra queste anche Colin & Partners raccontata dal suo CEO, Valentina Frediani…. Leggi Tutto

Timbratura tramite smartphone? Sì, ma occhio alla privacy

Oggigiorno si assiste alla diffusione e alla progettazione di nuovi strumenti che possono accelerare il lavoro nelle aziende e diminuire gli scarti e le perdite…. Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form