Regolamento Europeo GDPR: siamo pronti?

Regolamento Europeo GDPR: siamo pronti?

Il 25 maggio 2018 si avvicina a grandi passi. Non è (forse) la data dell’apocalisse, ma semplicemente il giorno in cui entrerà in vigore il nuovo regolamento europeo sulla privacy e la protezione dei dati personali e tutte le imprese europee, pubbliche e private, dovranno adeguarsi.

Per amor di precisione, va detto che in realtà il nuovo regolamento sulla GDPR – General Data Protection Regulation, è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, quindi entrato in vigore, il 24 maggio 2016, concedendo però due anni di tempo per adeguarsi.

Comunque sia, ora è arrivato il momento per le aziende di dimostrare che stanno prendendo sul serio la questione, facendosi trovare conformi con l’adozione di una serie di misure idonee a ridurre il rischio di violazioni. Altrimenti potrebbero fioccare sanzioni, anche molto salate… fino a 20 milioni di euro o al 4% del fatturato dell’anno precedente.

Cosa cambia per aziende e utenti

Ma cosa cambia in definitiva, rispetto al passato? In cosa consiste la rivoluzione, se di rivoluzione si tratta?

Le novità sono molte, e per quanto riguarda gli utenti riguardano una serie di tutele volte a rafforzare i loro diritti in materia di privacy. Alcuni esempi: accesso più semplice e diritto alla trasferibilità e alla cancellazione dei propri dati, ma anche di sapere con precisione quando questi sono stati violati e più trasparenza nelle informative, così da poter decidere consapevolmente se acconsentire o meno al trattamento.

Per le imprese tutto questo si traduce nell’implementazione di attività volte a “mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio” del trattamento di dati. Ad esempio: valutazioni dell’impatto sulla privacy, verifiche e notifiche di eventuali violazioni, registrazioni delle attività e la nomina di un incaricato alla protezione dei dati (Data Protection Officer – DPO).

Più responsabilizzazione
La materia è complessa, e anche per questo il Garante della Privacy ha pubblicato una guida all’applicazione del Regolamento, per offrire una sorta di vademecum delle principali problematiche da tenere presenti in vista del 25 maggio, con una serie di raccomandazioni e indicazioni operative.

Come sottolineato dal Garante, il regolamento pone in particolare l’accento sulla “accountability”, ovvero sulla responsabilizzazione dei titolari riguardo l’adozione di comportamenti proattivi che dimostrino la concreta applicazione delle disposizioni.
In estrema sintesi, è questa la vera grande novità della nuova normativa: affidare direttamente alle imprese la responsabilità di decidere in autonomia le modalità del trattamento dei dati, nel rispetto del regolamento. Niente più dunque controlli preventivi da parte dell’Autorità di controllo, che dal 25 maggio interverrà eventualmente soltanto in seguito alle valutazioni del titolare del trattamento.

A che punto siamo?

In questo scenario la confusione regna tuttavia sovrana. Commvault, grande società americana di information management, ha recentemente effettuato una ricerca nel nostro Paese, secondo la quale la maggior parte delle imprese italiane non ha al momento acquisito la preparazione necessaria per arrivare pronti alla data fatidica.
Soltanto il 12% delle aziende intervistate ritiene infatti di essere in grado di mettere in atto le misure necessarie al rispetto della normativa

L’89% delle strutture, e dei relativi responsabili, ha le idee poco chiare sugli elementi chiave del regolamento, e persino in Germania la situazione non sembra migliore, visto che il 62% dei CIO non esclude di ricevere una sanzione per eventuali inosservanze.

Le best practice IC DIGITAL
A fronte di questa fase cruciale per tutte le imprese europee, il mondo dei professionisti del digitale si è messo decisamente in agitazione per affrontare l’entrata in vigore del nuovo regolamento: le soluzioni tecnologiche dedicate alla modalità di raccolta, protezione e sicurezza dei dati sono per forza di cose diventate l’elemento nevralgico di ogni nuovo progetto.
Ma in IC DIGITAL come ci stiamo preparando all’ora X?

Abbiamo in atto una ristrutturazione tecnica per fare fronte a tutte le esigenze, dalla protezione delle singole postazioni alla protezione della intera rete in grado di isolare una singola postazione nell’esatto istante in cui viene violata, all’adeguamento della nostra infrastruttura cloud con Threats Blocker, protezione violazioni, backup ridondati. Inoltre sono stati schedulati incontri di formazione per il personale in merito all’applicazione delle norme organizzative che stiamo disegnando. In ultimo, ma non certo di minore importanza, abbiamo designato un DPO certificato AJA Registrars Europe UNI 11697:2017, che si occuperà di tutelare i dati delle persone fisiche europee in nostro possesso, e si interfaccerà con i DPO dei nostri clienti, per concordare misure e procedure.