GDPR

GDPR: meglio tardi che mai, ma affidiamoci a fornitori competenti

Con lo scadere dei tempi utili, il GDPR suscita grande interesse, soprattutto ai ritardatari, che possono trovare nel canale una gestione della sicurezza adeguata e nei DPO la corretta interpretazione della legge. Temi affrontati al convegno “GDPR Ultima Chiamata”

Pubblicato il 24 Apr 2018

Loris Frezzato

vlcsnap-2018-04-24-09h57m56s190

Non c’è più tempo, e i ritardatari del GDPR hanno validi motivi per allarmarsi. La data è nota: il 25 maggio entrerà in vigore la normativa europea sul trattamento dei dati (vedi l’articolo di Claudio Telmon del Clusit su cosa cambierà con l’applicazione della normativa) , e nessuno può dire che non se ne sia parlato in abbondanza dal varo della legge, 2 anni fa, a oggi. Ma evidentemente non è bastato, o comunque è sempre meglio saperne qualcosa in più: sono infatti oltre 800 gli iscritti all’evento “GDPR Ultima Chiamata” organizzato a Milano da Digital360 Group, segno evidente che sul tema ancora molte curiosità e dubbi permangono.

GDPR star mediatica. Ma non basta

Il tema dei rischi a cui sono potenzialmente soggetti i nostri dati è stato ampiamente trattato a livello mediatico, portandone a conoscenza pubblica gli effetti: dal pasticcio delle mail di Hillary Clinton, che hanno contribuito a farle perdere la presidenza USA, ai recenti fatti che hanno portato il patron di Facebook, Zuckerberg, di fronte al tribunale e a rivedere le regole di privacy. Attenzione mediatica che pare, però, avere lasciato insensibile ancora un gran numero di aziende, che allo scadere dei tempi si trova ancora a domandare cosa fare, se fare e come fare.

GDPR a tutela dei diritti

«Il contesto della privacy è cambiato in pochi anni – interviene Giovanna Bianchi Clerici, Garante per la protezione dei dati personali – e oggi si è dovuti arrivare a trovare un equilibrio tra la libertà della circolazione dei dati con la tutela degli stessi, per non ledere i diritti e le libertà delle persone. Proprio questo è lo spirito della normativa. L’esplosione dei Big Data, la creazione incontrollata di documenti che portano in un modo o nell’altro all’identificazione delle persone, video, foto e altro ancora, hanno reso necessaria la legge GDPR, frutto proprio dell’inconsapevolezza di poter gestire preventivamente il tema. Tra l’altro, per il nostro Paese, per una buona parte dei casi, non dovrebbe creare troppi stravolgimenti. La nostra è una legislazione tra le più mature rispetto agli altri Paesi: chi si è “comportato bene” in passato non avrà troppi problemi ad adeguarsi, salvo ovviamente gli elementi aggiuntivi dettati dalla legge. Una legge che, siamo consapevoli, dovrà avere delle letture adeguate anche al target a cui fa riferimento, come nel caso dei professionisti e le PMI, che prevediamo avranno delle interpretazioni proporzionate alla loro dimensione».

L’effetto sul mercato Security

Nonostante i ritardatari, comunque, il GDPR ha avuto un effetto boost sull’adozione di soluzioni di sicurezza adeguate, almeno nel corso dell’ultimo anno, come conferma Gabriele Faggioli, presidente Clusit e CEO di Partners4Innovation, mostrando i risultati di una ricerca svolta dal Politecnico di Milano interpellando sul tema 160 aziende italiane. «Il budget dedicato alla sicurezza è aumentato per il 70% delle aziende – commenta Faggioli -, e gli effetti si sono fatti sentire sul mercato dell’IT Security, che dai 976 milioni di euro relativi al 2016, ha fatto un balzo del 12% arrivando ai 1.090 milioni del 2017. Un cambio di approccio radicale, visto che solo un anno fa gran parte degli intervistati dichiarava di non avere nemmeno un budget dedicato, mentre oggi l’hanno previsto addirittura su un piano pluriennale. Segno che la sicurezza sta via via diventando un tema da affrontare in maniera sistemica».

GDPR: meglio affidarsi a chi è competente

Vari i termini legati strettamente al processo di compliance alla normativa, che comprendono accountability, legittimo interesse, risk assessment, data protection impact assessment, DPO e termini di mantenimento dei dati. Novità apportate dal GDPR alle quali anche chi era già “al sicuro” prima della legge, dovrà comunque adeguarsi e apportare degli accorgimenti alla propria strategia di trattamento sicuro dei dati. «Verosimilmente esternalizzando la gestione della sicurezza a fornitori esterni. Un tema delicato sul quale però la normativa propende, soprattutto per quanto riguarda le PMI, che difficilmente potranno investire direttamente per la protezione in maniera adeguata all’evolversi delle minacce» conclude Faggioli.

Cambia la cultura e il valore dei dati

Ma gli effetti del GDPR non si fermano alla semplice applicazione della legge, come asserisce Antonio Caselli, responsabile di unità di II livello del Garante per la protezione dei dati: «La normativa europea pone una scommessa anche dal punto di vista culturale, invitando a pensare a un approccio più maturo alla sicurezza e al trattamento dei dati. La sicurezza diventa così portante all’interno dell’organizzazione aziendale e il dato viene elevato ad asset vitale». Una cultura per la quale gli strumenti esistono già, basta usarli, come consiglia Guglielmo Troiano, senior legal consultant di Partners4Innovation: «È vitale e conviene essere informati, è il modo migliore per essere allineati alla normativa e per avere consapevolezza su come gestire il tema. In questo, è utile appoggiarsi a un consulente, cercando di capire bene cosa si andrà a gestire, identificando l’ambito di applicazione materiale, ossia quali sono i dati in uso che sono soggetti a GDPR e quelli non, e qual è l’ambito di applicazione della legge a livello locale, tenendo conto che alcune legislazioni locali e alcune normative nazionali sopravvivono al GDPR. Conviene quindi fare attenzione per quelle consulenze che contrattualmente coprono più Paesi».

Multe e opportunità per il Paese

Se l’aspetto sanzionatorio del GDPR può avere avuto un effetto sulla decisione di adottarne gli accorgimenti di adeguamento, non deve, comunque, esserne il motivo. Il GDPR può diventare vera opportunità per le singole aziende e per l’intera economia digitale. «La paura della sanzione è alimentata da elementi esterni che mirano a spaventare – interviene Francesco Pizzetti, docente diritto dei dati personali della Luiss di Roma -, ma il vero obiettivo raggiungibile dall’applicazione del regolamento è di far crescere l’economia digitale e la fiducia che i consumatori devono porre in essa senza timore di mettere a rischio la propria identità, nell’interesse dell’intero Paese. Chi non è in questa logica è fuori dal bene nazionale. Per questo è necessaria un’applicazione corretta del GDPR, affidandosi a esterni, fornitori o consulenti, che siano in grado di dare una certa garanzia: non andare al risparmio, perché la responsabilità finale, comunque, è del titolare dei dati, e non di chi li gestisce!».

Giovanni Buttarelli auspica una nuova cultura della privacy

Un tema evidenziato anche dal garante della privacy europeo, Giovanni Buttarelli, intervenuto in collegamento video: «Si sta giocando una partita che va oltre alla tutela dei dati, ma va a toccare nuove culture aziendali. Dobbiamo inoltre capire come il GDPR potrà incidere sui nuovi equilibri economici che si stanno creando, con la graduale entrata dei colossi asiatici nel mercato globale. Sono tanti, quindi, gli aspetti che la normativa innesta, e tra questi c’è anche quello fondamentale dell’innovazione tecnologica, che dovrà tendere alla “privacy by design”, uno spunto utile soprattutto per le startup che intendono affrontare la gestione sicura dei dati. Temi che non dovrebbero riguardare la sola Europa, ma che bisognerebbe portarli a livello mondiale, valutando le opportunità derivanti da un business eticamente responsabile, soprattutto utile per quelle aziende che vorranno operare al di fuori del solo territorio italiano».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3