Meno di 100 giorni all’entrata in vigore del GDPR e 3 società su 5 ritengono di non essere pronte. Il 22% di esse prevede di essere conforme al GDPR “solo” entro il 2018. Tuttavia, potrebbe essere troppo tardi.
Infatti la data limite del 25 maggio è nota ormai da ben due anni.
Se l’azienda elabora i dati di cittadini UE ma non ha mai sentito parlare di GDR, è un problema. Grave. Perché, indipendentemente da dove si trovi l’attività, il Regolamento deve essere rispettato. Chiaramente molte società non sono consapevoli del fatto che questa normativa abbia validità a livello mondiale, quindi non solo in Europa. Il 43% dei professionisti IT negli Stati Uniti, per esempio, non crede che il GDPR abbia un impatto sulla propria attività.
Obiettivo del nuovo Regolamento quello di proteggere la privacy dei dati personali dei cittadini dell’Unione Europea e controllare la modalità con le quali le aziende e le istituzioni li elaborano, li utilizzano e li archiviano. E si applica a società di tutte le dimensioni e di tutti i Paesi che trattano queste informazioni.
Il GDPR implica notevoli cambiamenti per garantire agli utenti un accesso più facile ai loro dati e conferisce alle aziende una maggiore responsabilità nel proteggerli.
Tra le principali modifiche:
– l’obbligo di ottenere un consenso esplicito e attivo da parte della singola persona per elaborare, archiviare o utilizzare i propri dati (informare l’utente non è sufficiente, si deve avere la sua approvazione);
– notificare le violazioni delle informazioni personali entro 72 ore dopo che un’azienda è venuta a conoscenza dell’incidente;
– il GDPR include nuove tutele, come il diritto all’oblio, che consente agli utenti di richiedere che i loro dati personali vengano eliminati in particolari circostanze, e il diritto alla portabilità, ossia la facoltà di richiedere che le aziende che memorizzano informazioni sensibili forniscano una copia delle stesse o le trasferiscano a un’altra società.
Nonostante le norme che il GDPR impone per rafforzare il controllo dei dati personali, alcune società che dipendono in larga parte da questi – ad esempio quelle del settore comunicazione o della vendita al dettaglio – sono le meno preparate ad accettare il Regolamento. Solo il 27%, infatti, dichiara di esserne completamente conforme e molte, secondo Forrester, ammettono di aver iniziato ad applicare cambiamenti a causa della “pressione da parte dei propri clienti”.
La violazione del GDPR ha diverse conseguenze:
– economiche: le autorità potranno imporre multe fino a 20 milioni di euro o pari al 4% del fatturato annuale totale. Le multe più severe saranno date alle aziende che non rispettano i principi di base del trattamento dei dati personali e che violano i diritti degli utenti o trasferiscono dati sensibili a Paesi terzi o Organizzazioni internazionali, che non possono garantire una protezione adeguata. Oltre alle ammende amministrative, potrebbero esserci ripercussioni finanziarie, ad esempio richieste di risarcimento da persone i cui dati personali sono stati violati.
– Di reputazione: il mancato rispetto del GDPR potrebbe assoggettare le aziende al disprezzo pubblico. La mancanza di fiducia e la pubblicità negativa dovrebbero preoccupare più delle multe.
– Commerciali: non essere in grado di dimostrare che la propria azienda è conforme al Regolamento può far perdere clienti – non sono disposti a mettere a rischio i propri dati personali – e ostacolare gli accordi con altre società. Infatti nessuna azienda vorrebbe essere un partner e condividere le informazioni dei propri clienti con un’altra società che potrebbe mettere in pericolo le suddette informazioni condivise.
Panda Security ha scelto di aiutare le aziende a essere in linea con il nuovo Regolamento, ponendo la privacy e la protezione dei dati personali come priorità. Per questo ha reso disponibili sul proprio sito tutti i dettagli relativi al GDPR, le sfide che comporta e come le soluzioni Panda Security possano aiutare le aziende a proteggere i dati dei loro clienti.