Il GDPR, dallo scorso 25 maggio, è entrato nel pieno della sua operatività, dunque le nuove disposizioni sulla privacy sono pienamente applicabili a qualunque azienda tratti i dati di cittadini europei. Una rivoluzione che, ovviamente, interessa da vicino anche gli operatori del mondo IT, che in questi mesi hanno provato a cavalcare le opportunità offerte dall’entrata della normativa, allestendo anche servizi di consulenza ad hoc. La conferma si è avuta in occasione dell’ultima edizione di Distriboutique, la speciale tavola rotonda organizzata da Digital4Trade, che ha visto riuniti intorno al tavolo alcuni dei principali system integrator italiani, insieme con rappresentanti della distribuzione e dei vendor. Al centro del tema c’è stata, ovviamente, la normativa appena entrata in vigore che, come ha testimoniato il dibattito tra i partecipanti, presenta alcuni punti che devono essere ancora adeguatamente interpretati. Eppure, come ha messo in luce l’analisi di Francesca Lonardo, Senior Legal Consultant di P4I (Partner4Innovations), il GDPR è pensato per essere tutt’altro che una normativa formale, lasciando infatti maggiore autonomia e proattività ai titolari del trattamento dei dati.
Indice degli argomenti
Una direttiva dinamica
In effetti, se la precedente direttiva europea in materia era «statica», il GDPR è dinamico: non dice «Come» fare, non contiene una serie di prescrizioni da attuare ma, piuttosto, obiettivi da raggiungere, risultati da perseguire, principi da rispettare, applicando gli strumenti che si ritengono più opportuni in un determinato contesto, con il vincolo però di documentare, in modo da essere in grado di dimostrare le ragioni per cui si è scelta una determinata strada. È il cosiddetto principio dell’accountability, che in italiano può essere tradotto come prova della responsabilità. In buona sostanza il titolare del trattamento deve essere in grado di dimostrare di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. Sarà per esempio necessario essere in grado di documentare il processo che ha portato alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un «data breach», di aver attuato in relazione a un nuovo trattamento le necessarie valutazioni legate alla privacy «by design».
Misure adeguate al rischio
Tutto questo richiede alle organizzazioni un passaggio in più: con il GDPR bisogna andare oltre il mero rispetto delle norme che poteva bastare in passato, magari affidandosi all’azione dei consulenti una volta all’anno, ma piuttosto occorre intervenire con precisione nei processi aziendali. Ovviamente le misure assunte devono essere adeguate al rischio, dunque devono essere verificate e valutate periodicamente per assicurarne l’efficacia. In questo senso, il Titolare e il Responsabile del trattamento dei dati devono effettuare un’analisi dei rischi derivanti dal tipo di trattamento che intendono porre in essere, quali distruzione, perdita, modifica, divulgazione non autorizzata e accesso, in modo accidentale o illegale, ai dati personali trasmessi/conservati o comunque trattati. In ogni caso, le misure di sicurezza devono essere in grado di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali, nonché di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico. In particolare il Data Breach, la violazione dei dati, rappresenta un punto su cui l’attenzione degli operatori IT è estremamente rilevante: quello che dice la norma è che la capacità di scoprire, affrontare e segnalare tempestivamente un data breach è un elemento essenziale delle misure tecniche e organizzative adeguate di cui si faceva riferimento in precedenza. In definitiva, il succo del GDPR è che qualsiasi progetto, servizio o sistema (sito web, software, soluzione IT, ambiente di lavoro, etc.) deve essere progettato considerando la riservatezza e protezione dei dati personali sin dalla progettazione, utilizzando misure tecniche e organizzative per confermarsi alla normativa e proteggere i fondamentali diritti fondamentali degli interessati.
GDPR: come il canale affronta la partita
Di fronte a una rivoluzione di questa portata, come si sta muovendo il canale Ict? La grande maggioranza delle aziende partecipanti a Distriboutique ha cercato di mettere in campo delle iniziative per cavalcare la domanda di consulenza e tecnologia provenienti dai clienti finali.Come racconta Morena Maestroni, Marketing Manager di Exclusive Networks, «Il nostro prima webinar sul tema GDPR risale addirittura a gennaio 2016, poi ovviamente c’è stata un’accelerazione mano a mano che si avvicinava la scadenza del 25 maggio. Ovviamente acquisisce una grande importanza la formazione a tutti i livelli, gran parte delle nostre attività come distributore è dedicata a questo aspetto». Anche un system integrator come 3C, racconta il Ceo Pier Carlo Bruno, è già da tempo impegnato su questo fronte: «Siamo ormai due anni che parliamo di questa normativa, abbiamo cercato innanzitutto di sensibilizzare i nostri clienti. A conti fatti, per noi il GDPR ha comportato un aumento del volume d’affari, anche se dobbiamo fare conti con un diffuso ragionamento a livello aziendale che vede questo tipo di investimento come un fattore di costo e non di sviluppo». Sulla stessa linea anche Gianandrea Daverio, BU manager security di Dimension Data: «Anche noi siamo almeno un anno che parliamo di GDPR. Tra le altre cose, abbiamo arricchito il nostro framework di sevizi di assessment, per andare a supporto dei Cio che vogliono mettere in conformità le proprie aziende, aiutandoli anche a selezionare le tecnologie più adatte. C’è da dire che il mercato enterprise è partito con un certo anticipo rispetto alla scadenza, mentre nella fascia alta del midsize, talvolta abbiamo assistito a situazioni preoccupanti, dove l’avvento del GDPR veniva minimizzato come la necessità di fare un po’ di carta in più».
Il punto di vista di Fortinet
C’è poi la lezione di Zerogroup, un system integrator specializzato nel mondo Microsoft e nelle aziende di medie dimensioni, che ha saputo cavalcare questa opportunità affiancando alle proprie competenze informatiche una serie di consulenze esterne in ambito giuridico. Il punto di vista del vendor presente a questa edizione di Distriboutique, in questo caso Fortinet, è che il GDPR abbia scatenato una corsa non sempre ordinata all’adeguamento: «Fortinet non ha un prodotto che risolve il tema del GDPR, ma piuttosto un insieme di soluzioni che possono aiutare a rispondere alle istanze della normativa. Eppure da parte dei nostri competitor ho visto delle azioni quantomeno strane, come ad esempio dei bollini “Gdpr compliant” messi dagli stessi vendor», spiega Cesare Radaelli, senior director channel account di Fortinet Italia.
GDPR: il futuro dopo il 25 maggio
Il tema che è più volte è aleggiato in occasione è della tavola rotonda è quanto il GDPR sia stato effettivamente metabolizzato dal sistema produttivo nazionale e quante opportunità ci siano per il futuro, una volta terminato l’effetto scadenza indotto dal 25 maggio. Per quanto riguarda il primo punto, il punto di vista condiviso è che le grandi imprese si siano mosse per tempo sul GDPR e siano destinate a continuare su questa strada, soprattutto per via delle conseguenze negative che possono derivare da casi di Data breach e Data Loss. Molto diversa è invece la situazione per medie imprese e Pmi che, nonostante una accresciuta consapevolezza in materia di privacy, si trovano perlopiù in ritardo sul fronte della compliance.C’è chi è convinto che, per spingere ulteriormente il mercato, serva un episodio che faccia da cassa di risonanza, come un furto di dati estremamente significativo e una successiva sanzione dell’Autorità garante almeno altrettanto pesante.
In ogni caso, esiste la diffusa speranza che l’onda lunga del GDPR non si sia esaurita con il 25 maggio: «Il GDPR è qualcosa che è destinato a rimanere anche dopo 25 maggio, come la sicurezza sul lavoro, è stato l’auspicio di Fausto Turco, Ceo di Si-Net. Per fare in modo che ciò avvenga, ha messo però in evidenza Marco Zanovello, Digital Security Manager Var Group, occorre trasferire il messaggio che «la fortuna non può essere una misura di sicurezza. Piuttosto, anche per non farsi percepire come il classico venditore della scatola, il system integrator deve diventare capace di scrivere un progetto, che sia caratterizzato da una parte tecnologica ma non solo». E per scrivere questi progetti capaci di mettere in conformità le aziende, sempre di più il canale deve essere capace di sposare la parola cooperazione. Avviando collaborazioni con realtà diverse dalla propria e arricchendosi di nuove competenze, magari introducendo figure consulenziali distanti dal tradizionale perimetro dei professionisti IT. Perché in una materia così complessa come quella della privacy, che tocca aspetti che vanno ben al di là della sola tecnologia, è impensabile pensare di fare tutto da soli.
