Forum Gdpr

Il GDPR è una parte della trasformazione digitale

Il GDPR va ben oltre il 25 maggio: non è una scadenza ma un processo che porta a guardare alla privacy e alla sicurezza in un modo diverso da prima. E attrezzarsi di conseguenza.

Autore: Redazione ImpresaCity

Siamo ormai a ridosso della definitiva entrata in vigore del regolamento GDPR. Molto è stato fatto dalle aziende italiane per adeguarsi alla nuova normativa ma molto resta probabilmente ancora da fare. Per dare una fotografia della situazione italiana abbiamo posto tre domande ad alcuni vendor di settore. Qui le risposte di Giovanni Napoli, Enterprise EMEA security Architect Team Lead di RSA Security.

L’entrata in vigore del GDPR è ormai alle porte. L’opinione generale è che le aziende italiane siano ancora indietro per quanto riguarda l’adeguamento alla nuova normativa, ma comunque più o meno nella media europea. Per quella che è la vostra visibilità, concordate con questa opinione o avete constatato uno scenario diverso?

Si, concordiamo con questa opinione: la scadenza del 25 maggio difficilmente sarà rispettata. Tuttavia, ciò che stiamo osservando in Italia è che le aziende e organizzazioni della Pubblica Amministrazione stanno affrontando in maniera più strutturata e pragmatica le attività chiave a supporto della conformità al GDPR. Un esempio degno di nota è proprio il censimento dei Trattamenti che merita maggiore attenzione e priorità. D’altra parte, aziende e organizzazioni che presentano un maggiore grado di maturità si stanno anche strutturando per adottare framework tecnologici a supporto della gestione ed automazione dei processi chiave in ambito GDPR.

Assessment dei propri processi, aggiornamento tecnologico, privacy by design, impatti organizzativi... La compliance al GDPR si porta dietro molte tematiche complesse. Sempre secondo le vostre esperienze, quali aspetti sono stati affrontati meglio e quali sono ancora troppo trascurati dalle imprese italiane?
Probabilmente tra gli aspetti rilevanti e affrontati meglio dalle imprese italiane vi è proprio il censimento dei Trattamenti. In linea di massima le imprese italiane hanno sufficientemente chiari in mente la lista e l’ambito dei principali Trattamenti. Tuttavia, la situazione attuale lascia aperti i seguenti interrogativi.
Le aziende si stanno dotando di modelli operativi e framework tecnologici per rendere efficiente la conformità al GDPR in maniera regolare nel tempo? Hanno un modello di riferimento e gli strumenti a supporto per effettuare un Risk Assessment efficace e oggettivo e, laddove dovesse essere necessaria, un DPIA (Data Privacy Impact Assessment)?
virus 2
Sebbene il GDPR non definisca in modo preciso da che momento si dovrebbero contare le 72 ore per la notifica di una breach all’Autority, le imprese italiane stanno davvero incrementando gli skill delle persone adeguandoli (o definito un programma per farlo) all’effettiva evoluzione delle minacce? Stanno davvero migliorando i processi e le risorse tecnologiche per poter effettuare una veloce detection, investigazione e risposta ad un incidente che potrebbe sfociare in una breach? Hanno davvero rivisitato tutto il processo di breach management in modo da garantire, in caso di crisi, comunicazioni e processi appropriati?

Il GDPR è certamente visto come un problema dalle imprese, secondo molti osservatori ha però anche una valenza positiva: da un lato impone un approccio alla gestione dei dati ideale per mantenere (o riconquistare) la “fiducia digitale” dei clienti finali, dall’altro spinge molte imprese a incrementare il proprio tasso di digitalizzazione. Cosa pensate di questo punto di vista? Avete esperienze dirette che lo confermino (o lo smentiscano)?
Oltre alla volontà di garantire ai cittadini migliori livelli di trattamento dei dati sulla loro privacy, con il GDPR il Regolatore Europeo ha chiaramente voluto spingere le aziende verso un approccio ancora più strutturato alla gestione del rischio, al miglioramento dei livelli di sicurezza ed in generale al miglioramento del proprio livello di maturità. Pertanto, far percepire ai cittadini da parte delle imprese italiane, che si ha una diversa e migliore attenzione ai loro dati personali, costituirà probabilmente un vantaggio competitivo oltre che una induzione di maggiore “fiducia digitale”.

In generale le imprese italiane sono in una fase di vera e propria “Trasformazione Digitale” alla quale in molti casi si aggiungono una “Trasformazione della Forza Lavoro”, una “Trasformazione dell’IT” e una “Trasformazione della Sicurezza”. Il GDPR, sebbene nel proprio ambito, rappresenta proprio l’occasione per affrontare in maniera organica tali trasformazioni che tengono conto dell’evoluzione inesorabile del mondo digitale e delle relative minacce.