Il nuovo regolamento europeo sulla Privacy (Gdpr – General Data Protection Regulation), approvato in via definitiva il 14 aprile 2016 e pubblicato il 4 maggio dello stesso anno, entrerà in vigore dal 25 maggio 2018.
C’è tempo? Forse no, a giudicare dai dati della piccola ricerca (136 aziende) effettuata dall’Osservatorio Information Security & Privacy del Politecnico di Milano. Nel sunto dell’analisi illustrata da Gabriele Faggioli, responsabile scientifico dell’Osservatorio e presidente del Clusit, saltano all’occhio un paio di percentuali abbastanza preoccupanti.
Solo un’azienda su cinque conosce gli obblighi della nuova normativa, il 46% degli intervistati dichiara un generico “è in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili”, il 50% dichiara candidamente che non ha previsto un budget dedicato per la protezione dei dati personali, il 45% sostiene di non dover effettuare nessun cambiamento organizzativo, infine, il 42% dichiara in corso gli assessment rispetto ai rischi e il 39% intende coinvolgere i consulenti esterni.
Al convegno relativo, su Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza oltre a Faggioli, hanno partecipato Alessandro Vallega, in forza a Oracle ma qui rappresentante del sito specializzato Europrivacy e Antonio Caselli dell’Autorità Garante per la Protezione dei Dati Personali, inviato al posto del presidente Antonello Soro.
Nel suo intervento, Caselli sottolinea i quattro elementi di novità contenuti nel testo del Gdpr: maggiore proattività, maggiore responsabilità, maggiori diritti e lo spostamento delle competenze da un quadro nazionale a internazionale. “L’Autorità prende atto di un certo sgravio degli obblighi di vigilanza – afferma Caselli – e di una nuova necessità di copartecipazione alle decisioni con altri enti preposti europei che richiederà maggiore coordinamento e cooperazione”.
Inoltre, rispetto alle nuove sanzioni previste, Caselli immagina un maggior lavoro di controllo per verificare la compatibilità con la legislazione locale e uno sforzo di completamento della stessa legislazione per coprire le zone d’ombra del pur valido Gdpr.
Generalmente, l’elemento di novità principale del regolamento europeo è il cambio di focale da una filosofia impositiva e rigida a un approccio più “morbido” che mette in primo piano la responsabilità delle aziende clienti e il beneficio dell’analisi delle singole situazioni secondo un concetto generico di “adeguatezza degli strumenti messi in atto”. Nel nuovo Gdpr il termine “data protection” ha preso il posto di “privacy”: l’azienda effettuerà dovrà gestire nel modo migliore possibile i dati personali in proprio possesso.
Il Regolamento, insomma, ha l’obiettivo di sensibilizzare più che di condannare. Dal punto di vista del fornitore It, poi, le opportunità crescono, insieme, anche in questo caso, all’adeguatezza del fornitore stesso rispetto alla consulenza, cercando così di limitare lo sciacallaggio tipico dei parvenu mordi e fuggi.
In sintesi: le 10 opportunità del Gdpr per i fornitori It
1. Selezione di qualità. Il Gdpr uniforma il trattamento e la protezione dei dati personali all’Ict-Sec, che regola la sicurezza informatica. Questo è un primo segnale di fiducia ai fornitori It seri e potrebbe liberare il campo da consulenti professionali non specializzati.
2. Internazionalizzazione. L’Unione Europea applica il suo diritto anche al trattamento dei dati personali non svolti all’interno della Comunità, se relativi all’offerta di beni e servizi a cittadini Ue. Il buon fornitore It europeo ha un’opportunità in più di ampliare i propri confini d’azione, a patto che l’inglese non sia un problema.
3. Approccio macro. Cambia l’approccio al trattamento dei dati secondo una logica che li segue durante tutto il ciclo di vita e indipendentemente dalla singola applicazione o servizio in cui sono coinvolti. Come giustamente sottolinea Alessandro Vallega, è ora di implementare progetti sull’intera architettura e non pensare alla protezione del dato nella singola applicazione. Per questo sono necessarie competenze da system integrator.
4. Il registro. Nasce il registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato (figura nuova), un’estensione del vecchio Dps in cui dovranno essere conservate numerose informazioni sul trattamento dei dati: aumenta la complessità ma non la competenza degli incaricati interni.
5. Comunicare i dati. L’obbligo di rispettare il “data breach” apre nuovi fronti di comunicazione all’interno delle aziende. In quest’ambito diventa importante anche l’approccio consulenziale comunicativo e non solo tecnico per valutare il modo più opportuno di adempiere all’obbligo tutelando il nome dell’azienda.
6. La certificazione. Un’azienda deve far certificare le proprie procedure di sicurezza relativamente al trattamento dei dati. Sebbene non sia ancora completamente definito il profilo di certificazione e si debbano ancora definire processi ed enti certificatori, è indubbio che un consulente o fornitore certificato avrà un’ulteriore freccia al suo arco.
7. Analisi dei rischi. Il fornitore e l’azienda cliente dovranno impegnarsi particolarmente nell’analisi preventiva dei rischi, soprattutto quelli informatici. Ulteriore spazio, dunque, a chi è in grado di progettare una corretta procedura di analisi con strumenti applicativi adeguati e a chi ha valide competenze in security.
8. Cifratura dei dati e ripristino. Vengono imposti i concetti di pseudonimizzazione e cifratura dei dati personali per impedire l’identificazione dell’utente. Inoltre, è richiesta la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico. All’interno di un processo di disaster recovery, dunque, l’obbligo del ripristino tempestivo e dell’accesso ai dati diventa un ulteriore obbligo. Grande leva per tutti i fornitori di Managed Services.
9. Il Data Protection Officer. Non si scherza più con consulenti privacy estemporanei. Deve esistere un responsabile della protezione dei dati in azienda e deve essere un manager – eccezionalmente può essere esterno. Largo, dunque, alla formazione proposta dagli enti certificati, capace di preparare queste figure su diversi aspetti, da quelli normativi a quelli sulla sicurezza informatica e sui big data.
10. Continuità del rapporto. La vasta articolazione delle norme, l’aumento delle sanzioni, il ritardo e la poca sensibilizzazione al tema delle aziende italiane non aiutano a mantenere la calma. Così come non aiuta la diffusa mancanza di budget preposto. D’altra parte, ci sono degli obblighi di legge da rispettare. Il nuovo Gdpr agevola un rapporto continuativo tra l’azienda cliente e il fornitore competente e strutturato finalizzato ad affrontare l’attività secondo un approccio modulare, con un budget iniziale minimo magari, lontano da strategie “mordi e fuggi”.
[…] Gdpr (General Data Protection Regulation) si parla davvero tanto in questi tempi. Perché è vero che l’entrata in vigore […]