GDPR: cos’è e cosa devono fare le aziende
Aggiornamento Aprile 2018: non perderti il nostro speciale GDPR di 46 pagine, da sfogliare online o scaricare gratuitamente in formato PDF. >> Vai allo speciale
Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei. Mancano pochi mesi all’attuazione e molte imprese risultano ancora impreparate. Secondo una recente indagine dalla società Veritas più della metà delle aziende intervistate (54 per cento) non hanno avviato alcun tipo di preparazione per soddisfare gli standard minimi del GDPR. L’indagine è stata condotta intervistando più di 2.500 senior decision maker in ambito tecnologico.
L’impreparazione delle aziende è confermata anche da una ricerca di Dell e Dimensional Research secondo la quale solo il 9% dei professionisti IT e business è pronto per il GDPR, e da uno studio dell’Osservatorio Security & Privacy del Politecnico di Milano che afferma che le aziende italiane sono in forte ritardo sull’applicazione del GDPR.
Cos’è il GDPR?
Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 dopo quattro anni di dibattiti e trattative. Le disposizioni rafforzano la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.
I regolamenti sono stati armonizzati con una serie di leggi che si applicano in tutti i 28 Stati membri. Le violazioni del DGPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.
GDPR: cosa temono le aziende
Secondo il sondaggio Veritas quasi il 40 per cento delle imprese teme di non essere conforme ai nuovi regolamenti, mentre poco meno di un terzo (31 per cento) è preoccupato per i danni alla reputazione del brand causati da politiche sui dati poco coerenti.
La responsabilità collettiva è essenziale per impedire che tali timori diventino realtà. La protezione della privacy richiesta dal GDPR presuppone programmi di conformità sostenuti da tutta l’azienda, secondo un report pubblicato della società software AvePoint e dal think tank Centre for Information Policy Leadership (CIPL). Il report raccomanda di integrare i requisiti di sicurezza dei dati in tutte le fasi di ogni processo aziendale, dalla progettazione al rilascio.
GDPR: l’impegno a livello del business
La confusione regna sovrana su chi ha la responsabilità del Regolamento. Quasi un terzo (32 per cento) degli intervistati ritiene che il responsabile sia il Chief Information Officer (CIO), il 21 per cento il Chief Information Security Officer (CISO), il 14 per cento per l’Amministratore Delegato e il 10 per cento il Chief Data Officer.
Secondo il rapporto di AvePoint e CIPL, tutte queste sono responsabili del trattamento dei dati. “Il GDPR e la conformità sulla privacy dei dati sono strettamente correlati alla strategia aziendale su dati, big data e analytics, innovazione”, afferma il report. “I dati sono fondamentali per molti processi di business, prodotti e servizi. Questo è il motivo per cui l’implementazione del GDPR deve essere uno sforzo concertato in tutta l’azienda, e il DPO deve collaborare con Chief Data Officer, Chief Information Officer, Chief Information Security Officer e tutti i dirigenti”.
Leggi anche: GDPR: tre consigli per farsi trovare pronti
GDPR: la segnalazione delle violazioni
I responsabili dei dati devono informare entro 72 ore le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio.
Molte aziende hanno già una procedura per la segnalazione di violazioni e un piano interno per le risposte. “Ciò consentirà loro di rispettare i nuovi requisiti per la notifica alle autorità competenti e alle persone interessate a seguito di una violazione”, afferma il rapporto AvePoint e CIPL. “Tuttavia, a differenza degli Stati Uniti, dove le notifiche di violazione sono obbligatorie in quasi ogni giurisdizione, solo una minoranza di aziende conduce prove dei propri piani di notifica delle violazioni, ha una assicurazione contro gli attacchi informatici o o si rivolge a esperti legali”.
GDPR: dati ad alto rischio
Quando si utilizzano nuove tecnologie e/o dati ritenuti “ad alto rischio” per i diritti e la libertà delle persone sono necessari i Formal Data Privacy Impact Assessments (DPIA). Questi includono le attività sistematiche ed estese di elaborazione, elaborazione su larga scala di particolari categorie di dati, monitoraggio sistematico di aree pubbliche (CCTV).
Istituire un quadro di valutazione del rischio è la strada giusta per gestire la privacy dei dati e garantire la conformità. L’Information Commissioner’s Office (ICO) raccomanda di includere una descrizione delle operazioni di elaborazione e le finalità, una valutazione delle richieste del trattamento in relazione allo scopo, una valutazione dei rischi e le misure in vigore per affrontarli.
Particolare attenzione deve essere posta a quei dati che vengono gestiti da servizi cloud, su infrastrutture esterne all’organizzazione. I cloud provider devono infatti garantire che i dati saranno trattati in conformità alle specifiche richieste dal GDPR.
Per questo motivo, molti fornitori di soluzioni cloud europei hanno lanciato l’iniziativa CISPE, volta a garantire che tutti gli aderenti forniscano soluzioni in linea con gli obblighi imposti dal GDPR.
GDPR: gestire ed elaborare i dati
I nuovi diritti di portabilità dei dati consentono ai singoli individui di trasmettere i propri dati personali a un altro ente in un formato leggibile da una macchina. Le aziende devono anche proteggere il “diritto all’oblio” quando i dati di una persona non sono più pertinenti o necessari. È opportuno istituire procedure per sostenere entrambe queste richieste.
Anche le politiche e le pratiche di trattamento dei dati dovranno essere sottoposte a revisione, in quanto i responsabili dei dati saranno soggetti a nuovi obblighi GDPR. Devono essere tenuti registri interni di tutte le attività di elaborazione dei dati, con i dati catalogati e classificati.
GDPR: un’opportunità per l’economia digitale
Le implicazioni del GDPR possono sembrare schiaccianti per le imprese, ma il Regolamento dovrebbe avere un impatto positivo sul pubblico e sulle aziende responsabili della gestione dei dati.
“Il GDPR rappresenta per le aziende l’occasione per considerare il rispetto della privacy dei dati in modo più strategico e olistico, in quanto diventa la chiave per la strategia sui dati e la trasformazione digitale della loro attività”, ha dichiarato Bojana Bellamy, Presidente del CIPL.
“Con le opportune policy, pianificazione e formazione del personale, le aziende possono beneficiare di un maggior credito se gli utenti hanno fiducia che i loro dati sono protetti”, ha commentato Elizabeth Denham dell’ICO. “L’economia digitale è basata principalmente sulla raccolta e lo scambio di dati, tra i quali ci sono molti dati personali e sensibili. La crescita dell’economia digitale richiede la fiducia del pubblico nella protezione di queste informazioni”.