È trascorso un anno dall’introduzione del GDPR, una opportunità per ripensare i processi gestionali, migliorare la security dei sistemi e la privacy del dato.
Parlare di GDPR significa focalizzarsi sugli aspetti normativi, ma anche su differenti attività pratiche e migliorie tecniche da mettere in atto per essere compliant.
La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni ed è in vigore dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide e saranno verosimilmente integrate dal GDPR.
Di fatto, il GDPR impone alle aziende requisiti e obblighi, molte realtà hanno perciò dovuto rivedere o modificare le modalità di gestione dei dati, con un’attenzione particolare sulla sicurezza del processo. Sia a livello giuridico, sia a livello tecnologico, la normativa va interpretata come un’opportunità di aggiornare meccanismi di lavoro che ormai sono obsoleti. Seguendo quanto prescritto è infatti possibile ricostruire il percorso che i dati compiono all’interno dell’azienda, capire il ciclo di vita degli asset e valorizzare i dati stessi, abbattendo le attuali strutture a silos.
Il pacchetto raccoglie dunque un sistema di norme non più limitate ai singoli stati, ma globali e va a protegge per primi i cittadini, sia dall’invadenza dello stato e sia dalle imprese che trattano i dati personali.
Particolarmente importante il concetto di “Accountability”, il principio di responsabilizzazione e documentazione. Fissa alcuni principi base e lascia all’azienda gli strumenti per la protezione e la gestione delle responsabilità. In questo ambito gli aspetti di processo diventano fondamentali. La documentazione delle attività è fondamentale.
Esistono dunque ruoli specifici, a partire dal Responsabile del Trattamento, i trattamenti del Responsabile sono disciplinati da un contratto o altro atto giuridico. Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer.
Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo.
Già un anno fa, all’introduzione della normativa, le aziende avrebbero dovuto istituire il registro dei trattamenti, verificare informative e consensi, abilitare processi di risk assessment, verificare che le misure di sicurezza messe in atto fossero adeguate. A maggio scorso, il 75% delle aziende italiane dichiarava di aver creato una procedura per notificare le violazioni di dati, ma solo il 49% aveva aumentato gli investimenti in IT Security. Le sfide di allora, così come quelle odierne, includono la difficoltà di essere conformi con il nuovo regolamento europeo: le aziende lamentano infatti la presenza di troppi sistemi IT legacy (30%), la mancanza di una data security efficiente (29%) e l’assenza di processi formali che rendano possibile identificare chiaramente a chi appartengono e dove sono custoditi i dati (28%).