Logo ImpresaCity.it

T.net: perché il GDPR è un cambio di mentalità

Dalla tutela delle informazioni come requisito da "spuntare" velocemente alla gestione continua del rischio associato ai dati: ecco il vero cambiamento che porta il GDPR. Lo spiega T.net.

Francesco Pignatelli

C'era una volta il famoso - per alcuni famigerato - Codice Privacy, dal prossimo maggio ci sarà una nuova norma a cui attenersi, quel GDPR che le aziende italiane per ora conoscono ancora troppo poco. Ma quello che stiamo per affrontare non è solo il passaggio da una legge a un'altra, è piuttosto il salto da una concezione a un'altra della tutela dei dati. Salto che ormai si era fatto inevitabile, spiega Francesco Mazzola, CEO di T.net Italia: "Lo sviluppo esponenziale della tecnologia ha reso insufficienti i sistemi di tutela dei dati che erano stati definiti anni fa, da qui la necessità del GDPR".

Secondo T.net ci sono due sviluppi concettuali fondamentali che hanno portato alla definizione di una norma profondamente diversa dalla precedente già nella concezione stessa di sicurezza. Il primo sta nell'aver capito che la sicurezza IT non è più affrontabile individualmente da parte delle aziende. Nessuno può difendersi completamente da solo ma serve una struttura di collaborazione tecnica e legale di livello. Il secondo sviluppo, sottolinea Mazzola, "è aver posto l'accento sul continuous risk assessment: dobbiamo essere sempre in grado di capire cosa succede e cosa è successo sulla nostra rete". Non saperlo, o saperlo troppo tardi, non è un dettaglio: comporta sanzioni importanti a livello economico che le imprese italiane molto spesso non possono permettersi.

Per le aziende italiane il passaggio al GDPR potrebbe essere persino traumatico, perché la precedente normativa è stata vissuta spesso in maniera superficiale, come un insieme di condizioni da soddisfare più da punto di vista formale che sostanziale. Un approccio minimale - ha spiegato Chiara Rossana Agostini, dello studio legale R&P Legal Partner - "Legato anche a sanzioni basse e controlli poco ampi e numerosi. Il GDPR chiede un approccio sostanziale: la privacy deve entrare a far parte del processo aziendale sin dall'inizio... Ci si deve sempre chiedere se un qualsiasi trattamento di dati è compatibile, se i dati sono davvero quelli necessari allo scopo, quali sono i soggetti coinvolti nel trattamento per regolare i rapporti con loro".

mazzola tnetFrancesco Mazzola, CEO di T.net Italia
Il concetto chiave è quello della valutazione costante del rischio collegato ai dati. Il GDPR non è una serie di elementi da applicare una tantum ma impone la definizione di misure informatiche e organizzative (pensiamo alla figura del Data Protection Officer, inesistente in Italia) che devono sempre adeguarsi a come si gestiscono i dati in quel momento. Non ci sono "liste della spesa" di cose da fare proprio perché il principio della tutela "responsabile" dei dati è astratto e deve adeguarsi ai tempi. Periodicamente quindi le aziende devono auto-esaminarsi per capire come gestiscono i dati, identificare i rischi associati a questa gestione e scegliere gli approcci e le soluzioni tecnologiche per ridurli al minimo.

Proprio un audit interno, spiega l'avvocato Agostini, è un primo passo da compiere per prepararsi all'avvento del GDPR. In questo modo si valutano le proprie misure di sicurezza e lo stato in cui ci si trova rispetto alla attuale normativa. Va esaminato anche l'organigramma aziendale legato alla gestione dei dati personali o sensibili e vanno definite - od aggiornate - vere e proprie privacy policy aziendali che regolino il rapporto dei dipendenti con le banche dati e gli strumenti IT che trattano informazioni. Va selezionato un DPO e vanno anche riesaminati tutti i rapporti in essere con chi, esternamente all'azienda, fornisce e tratta i dati.

Meglio prepararsi per tempo: Francesco Maria Pizzetti, ordinario di Diritto Costituzionale dell'Università degli Studi di Torino e già presidente dell'Autorità Garante per la Privacy, sgombra il campo da eventuali dubbi (o speranze) su una applicazione "soft" del GDPR, come in fondo è stato per il Codice Privacy. Quest'ultimo derivava da una direttiva europea mentre il GDPR è un Regolamento, quindi vale immediatamente (non c'è spazio per eventuali proroghe) così com'è e ha prevalenza sulle norme nazionali, che non ne possono cambiare il senso.

sicurezza it web

Le aziende italiane devono poi sempre tenere presente che il GDPR nasce in un certo senso per livellare il campo da gioco: le imprese europee hanno tutte gli stessi obblighi e la platea è altrettanto trasversale. "Le imprese italiane - spega Pizzetti - possono essere oggetto di indagini, ispezioni e sanzioni anche da parte di altre nazioni", se vi si trova un loro utente che ritiene di aver subito una gestione impropria dei suoi dati. "Il 90 percento degli obblighi dei titolari del trattamento sono nel Regolamento, non nelle leggi nazionali", ricorda Pizzetti: questo vuol dire che non ci sono spazi di manovra "locali" per aggirare le norme europee.

La spinta maggiore ad osservare il GDPR verrà dal pericolo delle pesanti sanzioni: sino a 20 milioni di euro o al 4 percento del fatturato globale (valutato per il gruppo a cui eventualmente appartiene la società sanzionata, non solo per questa in modo specifico). Ma l'adeguamento per molti provider di servizi è anche una leva competitiva per riuscire a essere preferiti sul mercato rispetto ai competitor. "Servirà - spiega Agostini - a tenersi i clienti, che hanno bisogno di garanzie per la data protection in modo da eliminare responsabilità. E dare false garanzie in caso di audit porta inadempimento contrattuale".

Da qui la necessità di certificazioni per mostrare l'adeguamento al GDPR. La ISO 27001 verosimilmente diventerà una delle principali, al momento certificazioni specifiche non ce ne sono. E nemmeno possono esserci, avverte Pizzetti: "Nessuno può rilasciare bollini, certificati o sigilli validi ai sensi del GDPR... Le certificazioni che già ci sono sono altre, tecnicamente una certificazione GDPR ora è impossibile". Questo perché prima occorre che il gruppo dei garanti europei indichi le linee guida in base a cui le autorità nazionali potranno selezionare i certificatori e i criteri in base a cui questi devono operare.
Pubblicato il: 01/12/2017

Cosa pensi di questa notizia?

Speciali

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce

speciali

Phishing, Ransomware e Truffe E-Mail: è allarme per Office 365 e il cloud