Dalla tutela delle informazioni come requisito da "spuntare" velocemente alla gestione continua del rischio associato ai dati: ecco il vero cambiamento che porta il GDPR. Lo spiega T.net.
C'era una volta il famoso - per alcuni famigerato -
Codice Privacy, dal prossimo maggio ci sarà una nuova norma a cui attenersi, quel
GDPR che le aziende italiane per ora conoscono ancora troppo poco. Ma quello che stiamo per affrontare non è solo il passaggio da una legge a un'altra, è piuttosto il salto
da una concezione a un'altra della tutela dei dati. Salto che ormai si era fatto inevitabile, spiega
Francesco Mazzola, CEO di T.net Italia: "
Lo sviluppo esponenziale della tecnologia ha reso insufficienti i sistemi di tutela dei dati che erano stati definiti anni fa, da qui la necessità del GDPR".
Secondo T.net ci sono due sviluppi concettuali fondamentali che hanno portato alla definizione di una norma profondamente diversa dalla precedente già nella
concezione stessa di sicurezza. Il primo sta nell'aver capito che la sicurezza IT non è più affrontabile individualmente da parte delle aziende. Nessuno può difendersi completamente da solo ma
serve una struttura di collaborazione tecnica e legale di livello. Il secondo sviluppo, sottolinea Mazzola, "
è aver posto l'accento sul continuous risk assessment: dobbiamo essere sempre in grado di capire cosa succede e cosa è successo sulla nostra rete". Non saperlo, o saperlo troppo tardi, non è un dettaglio: comporta sanzioni importanti a livello economico che le imprese italiane molto spesso non possono permettersi.
Per le aziende italiane il passaggio al GDPR potrebbe essere persino
traumatico, perché la precedente normativa è stata vissuta spesso in
maniera superficiale, come un insieme di condizioni da soddisfare più da punto di vista formale che sostanziale. Un approccio minimale - ha spiegato
Chiara Rossana Agostini, dello studio legale R&P Legal Partner - "
Legato anche a sanzioni basse e controlli poco ampi e numerosi. Il GDPR chiede un approccio sostanziale: la privacy deve entrare a far parte del processo aziendale sin dall'inizio... Ci si deve sempre chiedere se un qualsiasi trattamento di dati è compatibile, se i dati sono davvero quelli necessari allo scopo, quali sono i soggetti coinvolti nel trattamento per regolare i rapporti con loro".
Francesco Mazzola, CEO di T.net ItaliaIl concetto chiave è quello della valutazione costante del rischio collegato ai dati. Il GDPR non è una serie di elementi da applicare una tantum ma impone la definizione di misure informatiche e organizzative (pensiamo alla figura del
Data Protection Officer, inesistente in Italia) che devono sempre adeguarsi a come si gestiscono i dati in quel momento. Non ci sono "liste della spesa" di cose da fare proprio perché il principio della tutela "responsabile" dei dati è astratto e
deve adeguarsi ai tempi. Periodicamente quindi le aziende devono
auto-esaminarsi per capire come gestiscono i dati, identificare i rischi associati a questa gestione e scegliere gli approcci e le soluzioni tecnologiche per ridurli al minimo.
Proprio un audit interno, spiega l'avvocato Agostini, è un
primo passo da compiere per prepararsi all'avvento del GDPR. In questo modo si valutano le proprie misure di sicurezza e lo stato in cui ci si trova rispetto alla attuale normativa. Va esaminato anche l'organigramma aziendale legato alla gestione dei dati personali o sensibili e vanno definite - od aggiornate - vere e proprie
privacy policy aziendali che regolino il rapporto dei dipendenti con le banche dati e gli strumenti IT che trattano informazioni. Va selezionato un DPO e vanno anche riesaminati tutti i rapporti in essere con chi, esternamente all'azienda, fornisce e tratta i dati.
Meglio prepararsi per tempo:
Francesco Maria Pizzetti, ordinario di Diritto Costituzionale dell'Università degli Studi di Torino e già presidente dell'Autorità Garante per la Privacy,
sgombra il campo da eventuali dubbi (o speranze) su una applicazione "soft" del GDPR, come in fondo è stato per il Codice Privacy. Quest'ultimo derivava da una direttiva europea mentre il GDPR è un Regolamento, quindi vale immediatamente (non c'è spazio per eventuali proroghe) così com'è e ha prevalenza sulle norme nazionali, che non ne possono cambiare il senso.
Le aziende italiane devono poi sempre tenere presente che il GDPR nasce in un certo senso per livellare il campo da gioco: le imprese europee hanno
tutte gli stessi obblighi e la platea è altrettanto trasversale. "
Le imprese italiane - spega Pizzetti -
possono essere oggetto di indagini, ispezioni e sanzioni anche da parte di altre nazioni", se vi si trova un loro utente che ritiene di aver subito una gestione impropria dei suoi dati. "
Il 90 percento degli obblighi dei titolari del trattamento sono nel Regolamento, non nelle leggi nazionali", ricorda Pizzetti: questo vuol dire che non ci sono spazi di manovra "locali" per aggirare le norme europee.
La spinta maggiore ad osservare il GDPR verrà dal pericolo delle
pesanti sanzioni: sino a 20 milioni di euro o al 4 percento del fatturato globale (valutato per il gruppo a cui eventualmente appartiene la società sanzionata, non solo per questa in modo specifico). Ma l'adeguamento per molti provider di servizi è anche
una leva competitiva per riuscire a essere preferiti sul mercato rispetto ai competitor. "
Servirà - spiega Agostini -
a tenersi i clienti, che hanno bisogno di garanzie per la data protection in modo da eliminare responsabilità. E dare false garanzie in caso di audit porta inadempimento contrattuale".
Da qui la necessità di
certificazioni per mostrare l'adeguamento al GDPR. La ISO 27001 verosimilmente diventerà una delle principali, al momento certificazioni specifiche non ce ne sono. E
nemmeno possono esserci, avverte Pizzetti: "
Nessuno può rilasciare bollini, certificati o sigilli validi ai sensi del GDPR... Le certificazioni che già ci sono sono altre, tecnicamente una certificazione GDPR ora è impossibile". Questo perché prima occorre che il gruppo dei garanti europei indichi le linee guida in base a cui le autorità nazionali potranno selezionare i certificatori e i criteri in base a cui questi devono operare.