Cristian Meloni, Country Manager Italia di Rubrik, fa il punto della situazione a sei mesi dall’entrata in vigore del GDPR; cosa è cambiato? Cosa c’è da fare? Molto è stato scritto nel periodo antecedente l’implementazione del GDPR sul suo potenziale impatto sulle aziende di tutto il mondo. Ma i titoli dei giornali dicono il vero?
I consigli – contrastanti – arrivano da tutte le parti, e la linea tra realtà e finzione relativa al GDPR è sempre più sbiadita. Vediamo come stanno davvero le cose.
A che punto siamo – C’è accordo sul fatto che il GDPR e le sue implicazioni debbano ancora essere pienamente determinati, lo riconosce anche la Commissione Europea. Infatti, anche se la normativa offre un unico set di regole direttamente applicabili a tutti gli stati membri, molto lavoro di abilitazione deve ancora essere fatto da parte dei singoli Stati. La Commissione ha deciso di destinare EUR 1,7 milioni per finanziare le autorità dedicate alla data protection e il training.
Nessuno è esentato – Alcuni sostengono che le aziende con meno di 250 dipendenti non devono essere conformi al GDPR ma, anche se è vero che alcuni obblighi non si applicano a questa categoria, in generale devono uniformarsi. Per esempio, le PMI con meno di 250 dipendenti non devono tenere traccia delle loro attività di data processing a meno che l’elaborazione di dati personali sia considerata costante, rappresenti una minaccia per la libertà o i diritti dell’individuo, o sia relativa a dati sensibili o informazioni penali.
Un altro fraintendimento è legato alla sede dell’azienda. Il fatto di non essere un membro dell’Unione non esenta dal GDPR. La normativa si applica a qualunque realtà offra beni/servizi (gratuiti o a pagamento) a individui situati nell’Unione e a qualunque azienda che analizzi il comportamento dei cittadini europei. Quindi anche i grandi player globali online devono essere conformi al GDPR se vogliono continuare a operare in Europa.
Una misura non va bene per tutti – La conformità al GDPR è diventato l’obiettivo più ambito del 2018. Tuttavia, un unico prodotto non basterà a portarvi alla meta. Il vecchio adagio della cybersecurity si applica anche al GDPR: è una combinazione di persone, processi e tecnologia. E non risiede unicamente sotto il dominio dell’IT, ma dovrebbe mobilitare l’intera azienda ed essere gestita con una serie di cambiamenti a livello tecnologico e organizzativo.
Le sanzioni dipendono dal contesto – La maggior parte dei contenuti GDPR parte dalle potenziali sanzioni monetarie a cui si va incontro in caso di mancata adesione (fino a €20 milioni o 4% del fatturato annuale totale). Tuttavia, bisogna contestualizzare questa affermazione. È vero che le sanzioni esistono, ma non dimentichiamo che l’autorità deve assicurarsi che le multe imposte in ogni singolo caso siano efficaci, proporzionate e dissuasive.
Per farlo, l’autorità terrà conto di diversi fattori tra cui la natura, gravità e durata dell’infrazione, il carattere intenzionale o negligente, eventuali azioni intraprese per mitigare il danno causato agli individui e il grado di cooperazione dell’organizzazione. In altre parole, se state lavorando per la conformità, avete fatto il massimo, documentato le procedure, implementato i sistemi e la tecnologia, potreste anche evitare l’intera entità delle potenziali sanzioni.
Non andate nel panico, agite! – Iniziate ad applicare alcuni passaggi oggi per garantire che la vostra azienda sia nella miglior posizione possibile. La nuova normativa è tutta sui dati. Tuttavia, le aziende non archiviano tutti i dati in uno posto centrale, in realtà i dati sono distribuiti in luoghi e sistemi diversi. Inoltre, non tutti i dati sono uguali. Alcuni sono strutturati mentre altri, come documenti e e-mail, non lo sono. Anche il luogo varia, compresi diversi sistemi interni, ma sempre di più vengono archiviati esternamente in ambienti public Cloud, come le applicazioni SaaS-based. Per questo motivo, iniziate a inventariare (quali dati tengo?) e classificare (sono tutti dati personali?) i dati. Verificate la necessità di fare una valutazione Data Protection Impact Assessment (DPIA) se si elaborano dati che possono rappresentare un rischio elevato per la libertà e i diritti dei singoli.
Quando si raccolgono i dati personali è importante informare chiaramente l’individuo e, quando si richiede il consenso per archiviare ed elaborare gli stessi, bisogna indicare chi siete (DPO compreso se c’è), per che cosa servono (compresa la giustificazione legale del perché si desidera elaborare i dati se applicabile), per quanto tempo verranno conservati e se altri li riceveranno (compreso l’invio al di fuori dell’EU).
Bisogna inoltre informare l’individuo circa i suoi diritti relativi ai dati personali nel momento in cui vengono raccolti e se ha il diritto di riceverne una copia, inviare una lamentela all’autorità competente e ritirare il consenso in qualunque momento. Come per tutte le nuove normative, il cambio di approccio rappresenta il pezzo più importante del puzzle. Assicuratevi che l’intero team sia aggiornato sulla normativa e sarete a metà strada verso la conformità.
