Siamo alla simbolica "soglia" dei 100 giorni all'avvento del GDPR e le imprese affrontano una nuova privacy e sanzioni non sempre chiare
Man mano che ci si avvicina all'entrata in vigore del GDPR
aumenta l'attenzione delle imprese e, parallelamente, anche l'offerta dei vendor che stanno organizzandosi per
offrire soluzioni il più possibile "chiavi in mano". Ma ormai la scadenza del 25 maggio sta diventando davvero impellente - siamo alla
simbolica "soglia" dei 100 giorni - per le molte aziende che devono prima valutare e poi ripensare i propri processi di gestione dei dati, senza potersi affidare completamente a soluzioni pacchettizzate.
Uno dei temi che le aziende fanno forse più fatica a comprendere è che
la privacy deve entrare a fare intrinsecamente parte della gestione delle informazioni, un principio che di solito si esplica nei concetti di privacy by design e privacy by default.
Privacy by design significa sostanzialmente che i processi che gestiscono in vario modo le informazioni personali devono
essere costruiti in modo da tutelare la privacy. Non si tratta solo di una costruzione tecnologica: l'azienda deve sempre
avere sotto controllo la catena di gestione dei dati (chi tratta il dato, perché, con quali strumenti e garanzie di sicurezza) perché deve potere sempre - in caso di una violazione dei sistemi o di un errore umano che portino alla perdita di dati -
capire cosa è successo, tutelare i diritti degli interessati e attribuire le giuste responsabilità.
Al concetto di privacy by design è strettamente collegato quello di
privacy by default, che è in parte più tecnico. Quando una corretta gestione delle informazioni è implementata "by design" si deve anche garantire che il normale funzionamento dei processi
sia quello previsto sulla carta. Tutti i sistemi che gestiscono le informazioni devono cioè essere impostati perché l'uso dei dati sia corretto di default, in pratica eseguito solo ed esclusivamente nei casi espressamente previsti, dal personale autorizzato e con i passi corretti. Una gestione sbagliata delle informazioni deve idealmente
derivare da eventi anomali, dal
furto di dati all'errore umano.
Dai concetti di privacy by design e privacy by default si capisce come sia effettivamente cruciale la
fase di assessment che viene sempre indicata come primo passo in un percorso di avvicinamento alla compliance. Solo se si conoscono davvero tutti i processi di gestione delle informazioni - e se questi sono testati e documentati, inoltre - l'azienda può essere
ragionevolmente certa di aver
messo in atto misure tali da mitigare il rischio di perdita dei dati sensibili e, cosa affatto secondaria, di ipotetico risarcimento del danno.
E anche qui tutto non è chiarissimo, dato che la norma indica sanzioni "fino a" un certo limite e quindi
prevede una certa discrezionalità nella loro valutazione. Ma su che basi?
In linea di principio - e semplificando molto - le sanzioni più basse saranno probabilmente legate alle
violazioni per così dire "strutturali", derivanti cioè dal fatto che un'azienda non ha adempiuto alle norme implementando male i processi ottimali di gestione dei dati, ma senza provocare danni agli interessati (cioè gli utenti o i clienti di cui si gestiscono i dati). Le sanzioni maggiori entreranno in gioco
quando questi danni invece saranno evidenti, cosa che con tutta probabilità accadrà alle imprese che avranno ignorato il GDPR non solo nella forma ma anche - e soprattutto - nella
sostanza.
Nel comminare le sanzioni le autorità faranno quindi valutazioni discrezionali in cui conteranno molto lo stato (di sicurezza) e
la "buona volontà" dell'azienda nel seguire le indicazioni del GDPR. E qui torna in gioco il concetto della privacy by design e by default: se un'azienda non ha delineato, messo in atto e testato le procedure e i processi opportuni le
diventa davvero difficile documentare di aver cercato di rispettare le norme e i suoi obblighi. E rischia così il massimo della sanzioni.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.