Il 25 maggio è ormai alle porte. Tra poco più di un mese, infatti, entrerà in vigore ufficialmente il regolamento europeo sulla protezione dei dati personali, altrimenti conosciuto come General Data Protection Regulation (GDPR). L’introduzione di questa nuova normativa genererà ripercussioni significative sul business di tutte le aziende europee, ed è quindi necessario giocare d’anticipo, sapendo quali strategie mettere in atto per essere conformi alla normativa, ed evitare così sanzioni pesanti dovute ad una mancata compliance.
Su come affrontare questa rivoluzione nel mondo dei dati se ne è parlato lo scorso 18 marzo, durante l’evento dal titolo “GDPR ultima chiamata” organizzato da Achab, azienda specializzata nella distribuzione di soluzioni software a valore. Nel corso dell’incontro sono intervenuti esperti del settore ma anche imprenditori. Di fronte a un pubblico composto da professionisti e fornitori di servizi IT i relatori hanno illustrato quali azioni è necessario mettere in campo già ora per evitare le sanzioni, come affrontare le questioni legate al regolamento europeo, su quali strumenti tecnologici e piattaforme contare e come, non da ultimo e non meno difficoltoso, sensibilizzare i clienti.
Ma di cosa parliamo quando si fa riferimento alla GDPR? Provando a sintetizzare, possiamo dire che: 1) si tratta di un regolamento europeo che si applica al trattamento dei dati personali (nome, cognome, codice fiscale, ecc), ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile; 2) Introduce regole più chiare in materia di informativa e consenso, definendo i limiti al trattamento automatizzato dei dati personali. Pone inoltre le basi per l’esercizio di nuovi diritti (cancellazione/oblio e portabilità), e in più stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach); 3) Si applica anche ai trattamenti di dati interessati che si trovano in UE (offerta di prodotti o servizi destinati a soggetti presenti in UE).
Durante la sessione dedicata ai relatori, l’avvocato Chiara Magalini, esperto di sicurezza, ha subito avvertito: «Non si tratta di una legge italiana, quindi non possiamo sperare in nessun tipo di rinvio. Tutto ciò che nell’ordinamento italiano oggi va contro il regolamento europeo dovrà essere disapplicato». Tra le novità più significative portate dalla Gdpr, in particolar modo per chi si occupa di fornire serviti IT, c’è la creazione di una figura specifica, il Data Protection Officer (DPO). «Molto probabilmente le aziende vi chiederanno di essere il loro Dpo perché sono necessarie le vostre competenze tecniche – prosegue l’avvocato Magalini -, ma a queste dovrete aggiungere competenze legali non di poco conto».
Sì, perché il Dpo dovrà essere una figura con competenze trasversali, in grado di operare sia nel campo legale che in quello tecnico. Inoltre dovrà garantire una conoscenza specialistica della normativa e della prassi in materia di data protection, mostrare abilità nelle dinamiche relazionali, essere indipendente e, soprattutto, dotato di budget.
Nel corso della giornata di lavori è anche stato presentato una sintesi del Rapporto Clusit sulla Sicurezza ICT in Italia del 2018, pubblicato il 14 marzo scorso. A commentarla è stato Luca Bechelli, information & cyber security advisor di Partners4Innovation e membro del comitato direttivo del Clusit. «Abbiamo registrato una media di 94 attacchi informatici gravi al mese, +7% rispetto all’anno precedente – ha spiegato Bechelli -. Di questi, il 14% aveva come finalità il cybercrime. Ma è soprattutto dagli attacchi di ordine “comune” che ci dobbiamo guardare perché sono cresciuti del 94%, un’enormità».
«Il regolamento europeo ci impone – ha concluso Becchelli – un modello di gestione continuo, che non possiamo più abbandonare una volta creato. L’approccio giusto a ciò che sta per accadere è considerare il regolamento stesso un modello di gestione, solo in questo modo potrete trasformare un problema in un’opportunità di lavoro».
In sintesi, dall’incontro è emerso un messaggio chiaro: le aziende devono allinearsi ai dettami della normativa europea, se non vogliono correre il rischio di incappare in pesanti sanzioni. E stiamo parlando di cifre, da valutare a seconda dei casi, che possono arrivare fino a 10 milioni di euro (o al 2% del fatturato mondiale totale annuo), quando non addirittura ai 20 milioni di euro (o al 4% del fatturato mondiale totale annuo).
