GDPR, conto alla rovescia. Adeguarsi è possibile?
Il testo sulla protezione dei dati personali entra definitivamente in vigore a maggio di quest’anno ma non contiene esplicite guidelines: l’obiettivo è spostare l’attenzione sulla gestione di un rischio che può variare molto in funzione del settore in cui opera l’azienda o l’organismo che ha a che fare con le informazioni. Un approccio familiare a chi si occupa di cyber security, ma che non si esaurisce in uno o più tool da implementare. Ecco le cose essenziali da conoscere, tenendo conto di un aspetto critico per una normativa che sanziona in modo molto severo la “non adeguatezza”: il percorso verso la compliance è lungo, in molti casi oneroso (non solo in termini di costi) e molte aziende sono in ritardo ed esposte al rischio-sanzioni. Ma per fortuna possiamo contare su un ampio mercato di soluzioni e servizi di consulenza.
Privacy by default, accountability, impact analysis, obbligo di denuncia, data minimization e retention. E così via. Il regolamento europeo sulla protezione dei dati personali (GDPR) conferma e rafforza diversi trend normativi già affermatisi nel corso del tempo in Europa, con una forte chiamata in corresponsabilità delle aziende e un sistema di sanzioni – vere e proprie multe espresse in percentuale dei fatturati aziendali – che sulla carta può diventare molto oneroso e difficilmente aggirabile. Il legislatore europeo ha sicuramente agito in linea di continuità con il passato, ma allo stesso tempo si rivolge alle imprese e ai responsabili delle loro infrastrutture informatiche, chiedendo un impegno ancora maggiore. Non solo in termini di tracciabilità delle informazioni – con una riduzione dei margini di rischio di esposizione delle stesse, per esempio attraverso nuovi metodi di anonimizzazione dei dati (disaccoppiamento tra informazioni generiche e informazioni anagrafiche), riduzione del volume complessivo delle informazioni conservate e della loro ridondanza, rimozione delle informazioni non più utili alla conduzione del business – ma anche in termini di capacità di individuare rapidamente le violazioni avvenute, che secondo il nuovo regolamento devono essere tempestivamente e volontariamente segnalate alle autorità centrali.
Compliance in chiaroscuro
Binomio inscindibile
Una grossa area di incertezza percepita dalle organizzazioni che sono tenute a rispettare il regolamento, riguarda proprio le contromisure vere e proprie da adottare. Al momento, dal legislatore non sono ancora arrivate linee guida precise o best practice da implementare e come vedremo in seguito – dall’intervista con l’avvocato Valentina Frediani, founder e CEO dello studio Colin & Partners che abbiamo coinvolto in questo dossier – l’assenza di un preciso codice di comportamento è stata per così dire ingegnerizzata da un legislatore che ha voluto fissare una serie di obiettivi e presupposti, lasciando a chi deve ottemperare al regolamento, uno spazio di manovra che agisce anche da stimolo alla lettura e alla comprensione di un testo, che secondo Valentina Frediani è molto più esplicito del temuto. Come affermava Alessandro Cecchetti, general manager dello stesso studio specializzato in consulenza legale informatica, nel corso della tavola rotonda organizzata da Data Manager proprio per fare chiarezza sull’adozione del GDPR, la mancanza di precise norme di comportamento invita a rispettare l’unica regola possibile: leggere con cura il testo, individuare i punti di aderenza alla propria realtà procedurale e infrastrutturale e implementare di conseguenza le necessarie misure tecniche e organizzative. Si andrà a creare così – sottolineava Cecchetti – il binomio inscindibile voluto dal legislatore, quello tra il dato digitale inserito nel contesto delle infrastrutture e delle applicazioni informatiche e l’informazione considerata dal punto di vista del business e dei suoi processi.
Alla base del principio di responsabilizzazione che ispira il testo della normativa, c’è l’obbligo da parte dell’azienda di essere in grado di dimostrare l’adeguatezza con la quale è stato affrontato il tema della protezione del dato digitale. In altre parole, l’organizzazione è tenuta a stendere un accurato piano di valutazione da cui potrà derivare l’implementazione di contro misure sia tecniche (come per esempio l’uso della cifratura delle informazioni, o di tool che consentano un uso anonimo del dato personale) sia organizzative (per esempio la gestione improntata a una minore ridondanza dei dati e all’eliminazione di tutto ciò che non ha più utilità per il business). Un’altra forte motivazione dell’estensore della nuova direttiva europea è quella di evitare la definizione di norme preconfezionate e “one size”, proprio per venire incontro all’esigenza di una protezione più adatta allo specifico settore di attività. Uno dei tratti distintivi della compliance consiste proprio nello studio dei trattamenti e delle peculiarità che caratterizzano un’azienda di produzione industriale o un istituto di credito. Questo inevitabilmente comporta la capacità di analisi delle singole situazioni e la creazione di un percorso su misura. In una ottica che volutamente il legislatore ha inteso di vero e proprio risk management.
Continua a leggere su DataManager.it
Riproduzione riservata ©