Vertiv ci aiuta a fare il punto sul nuovo regolamento europeo per la protezione dei dati GDPR, che entrerà in vigore nel maggio del 2018.
Nelle ultime settimane si è discusso molto della necessità di prevedere e pianificare l’impatto aziendale del GDPR. Colossi come Google, Microsoft e McAfee hanno dichiarato pubblicamente di aver avviato i primi preparativi per soddisfare i nuovi obblighi di conformità per realizzare così una transizione fluida quando le nuove norme saranno applicate. In questo articolo, approfondiremo il GDPR e le misure che le aziende devono adottare nel corso del prossimo anno per mettersi in regola.
Che cos’è il GDPR?
Per chi ancora non lo sapesse, il “Regolamento generale sulla protezione dei dati” (GDPR, General Data Protection Regulation) è diventato legge. Sarà applicato dal prossimo anno e interesserà molte aziende, ecco perché è importante utilizzare bene il tempo ancora a disposizione per prepararsi al meglio.
In breve, questo regolamento è stato elaborato per tutelare e uniformare il trattamento dei dati personali all’interno dell’Unione Europea (UE). Sostituendo la precedente Direttiva Comunitaria in materia, il GDPR introduce tutta una serie di nuove disposizioni mirate a snellire l’utilizzo e i flussi di dati personali tra gli stati membri dell’Unione e tra questi e i paesi extra-UE. Il GDPR sarà effettivo dal 25 maggio 2018 e disciplinerà importanti aspetti correlati ai diritti delle persone fisiche e alla protezione dei dati. Qualcuno potrebbe pensare che si tratti solo dell’ennesimo regolamento emesso da Bruxelles, ma la nuova normativa intende proteggere i diritti di ogni singolo cittadino europeo nella moderna era digitale. Numerose aziende, dentro e fuori i confini dell’UE, hanno ancora molto da fare per adeguarsi.
Perché è così importante? Consapevolmente o meno, comunichiamo i nostri dati personali a terzi durante le più banali transazioni quotidiane – quando prenotiamo un albergo, usiamo i social media, facciamo shopping online o ci iscriviamo a una newsletter. Queste operazioni comportano sempre la trasmissione di alcuni dati personali – per avere un’idea dei volumi, in appena un minuto di attività Web, vengono trasmessi oltre 640 trilioni di byte di dati a livello mondiale.
Molti di noi considerano questo trasferimento di informazioni con leggerezza, perché è diventata un’abitudine e non ci preoccupiamo molto di sapere dove saranno inviate, come verranno memorizzate e protette e chi potrà consultarle. L’obiettivo del GDPR è assicurare che coloro che gestiscono dati personali procedano nella raccolta, conservazione e trasferimento in modo corretto e responsabile. Il Regolamento mira anche a ridurre le lungaggini burocratiche, dando sempre la massima priorità ai diritti delle persone e alla sicurezza dei dati.
Gli elementi fondamentali da tenere in considerazione Naturalmente, le domande delle aziende sui cambiamenti che saranno introdotti e sul loro impatto sono molte. Li abbiamo suddivisi in cinque categorie:
1. Il diritto all’oblio Assolutamente prioritario per molte persone, il diritto all’oblio è stato riconosciuto dalla Corte di Giustizia Europea con una sentenza del 2014 pronunciata nella causa contro Google Spagna. Quando l’interessato considera i propri dati inesatti, inadeguati, non più pertinenti o eccessivi rispetto alle finalità del trattamento, ora può esigere che vengano cancellati su richiesta. Anche se sarà necessario conciliare il diritto alla cancellazione dei dati con altri diritti fondamentali, come la libertà di espressione e di informazione, i motori di ricerca e altri archivi online si ritrovano sottoposti a enormi pressioni, a causa delle centinaia di richieste presentate da cittadini europei che esigono la rimozione delle proprie informazioni dai risultati delle ricerche.
2. Obbligo di notifica delle violazioni dei dati Quando il GDPR entrerà ufficialmente in vigore, sarà obbligatorio per le aziende informare i clienti di ogni violazione della sicurezza dei dati che potrebbe mettere a rischio i diritti e la libertà delle persone. La notifica dovrà essere effettuata entro 72 ore dal rilevamento della violazione e le multe per mancata conformità possono essere molto elevate.
3. Visibilità del trattamento dei dati Le norme del GDPR sono state ampliate in modo da consentire ai clienti di ottenere un quadro facilmente visibile, intelligibile e chiaramente leggibile del trattamento previsto da parte di chi raccoglie i loro dati, e di sapere quindi quali dati saranno processati, dove e per quali finalità. Questa grande apertura da parte delle aziende ridefinisce il concetto di trasparenza e dovrà essere concessa gratuitamente.
4. Nomina di un Responsabile della Protezione dei Dati (RPD) Anche se sono molte le precisazioni al riguardo, è possibile che numerose aziende – specialmente se con organico superiore a 250 dipendenti – siano tenute a nominare un RPD. La persona scelta per ricoprire questo ruolo dovrà essere in possesso di una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, in modo da fornire all’azienda la consulenza necessaria per essere in regola con il GDPR.
5. Sanzioni in caso di mancata conformità L’inosservanza delle disposizioni del GDPR comporta gravi conseguenze, tra cui sanzioni pecuniarie fino al 4% del fatturato globale annuo registrato nell’anno precedente o fino a 20 milioni di euro. Lo schema sanzionatorio è progressivo, con penali di importo crescente e applicabili a tutti i soggetti coinvolti, sia coloro che archiviano i dati o chi li processa. Questo unico punto è sufficiente a discutere della protezione dei dati fino ai vertici dell’azienda, poiché non è più solo un problema IT, ma comporta implicazioni legali e finanziarie che potrebbero costare care se mal gestite.
Il Regolamento complicherà ulteriormente la già difficile Brexit? La Brexit non cambia il fatto che il Regno Unito debba conformarsi al GDPR, almeno per il momento. Negli ultimi mesi, l’articolo 50, cioè la procedura formale per l’uscita del Regno Unito dall’Unione Europea, è stato invocato dal Primo Ministro britannico, Theresa May. Per portare ufficialmente a termine l’iter previsto potrebbero essere necessari anche due anni. “In questo arco di tempo, il GDPR si applicherà anche al Regno Unito e pertanto le aziende britanniche dovranno conformarsi alle nuove norme, almeno fino a quando l’uscita dall’UE non sarà ufficiale. Ma anche in seguito avranno interesse a mantenersi in linea con le normative UE per non ostacolare le interazioni con i clienti europei,” sottolinea Amy Johnson, VP Marketing di Vertiv. “Lo stesso dicasi per tutte le organizzazioni con sede in paesi extra-UE che operano sul territorio dell’Unione: il GDPR rappresenta infatti una soluzione uniforme e universale utilizzabile da aziende di tutto il mondo per interagire con soggetti europei.”
Citando i dati raccolti nel rapporto Clusit 2017, l’Associazione Italiana per la Sicurezza Informatica, il 2016 è stato l’anno peggiore per la sicurezza informatica in tutto il mondo e tra le nazioni più colpite c’è purtroppo l’Italia. Per la prima volta, è posizionata nella top ten per quanto riguarda gli attacchi più gravi registrati e il numero di utenti colpiti. Una particolarità italiana sono gli attacchi ransomware, tipologia di malware che cripta tutti i file presenti sull’hard disk, chiedendo poi un riscatto all’utente per sbloccarli. Un fenomeno che è forte, specialmente in Italia, in quanto le aziende sono impreparate e dotate di basse misure di sicurezza, spesso quindi hanno pagato i criminali per riavere accesso ai propri file, non avendo a disposizione alternative valide. È successo purtroppo in numerose e note organizzazioni, enti comunali e ospedali.
Tuttavia sul fronte IT qualcosa sta accadendo: di poche settimane fa la notizia che i principali cloud provider europei hanno scelto di aderire al codice di condotta promosso dal CISPE (Cloud Infrastructure Services Provider in Europe) in preparazione al GDPR. I fornitori di cloud che aderiscono al codice dovranno dare ai clienti la possibilità di memorizzare ed elaborare i loro dati interamente all’interno dello spazio economico europeo, e si impegnano a non accedere o utilizzare tali informazioni per i propri scopi. È un segnale positivo e concreto dell’incremento di consapevolezza e attenzione all’adeguamento e alla protezione dei dati.
I necessari preparativi “Per molte aziende, la prospettiva di mettersi in regola con le nuove disposizioni del GDPR entro il 25 maggio 2018 è scoraggiante, ma mancano ancora diversi mesi al termine ultimo per essere a norma, un lasso di tempo sufficiente per prepararsi al meglio,” continua Amy Johnson. “Il segreto per riuscirci è realizzare correttamente la pianificazione operativa e la distribuzione del budget – con il sostegno di un consulente legale – e rispettare rigorosamente la tabella di marcia.”
A breve distanza dalla sua entrata in vigore, il GDPR è già considerato un insieme di regole complesso da gestire e impegnativo da attuare. Tuttavia, definendo un quadro di riferimento unico per tutti, la conformità in materia di sicurezza dei dati non è più una scelta. Avviare i preparativi al più presto e affrontare le difficoltà senza esitazioni è l’unico metodo valido per tutelare l’azienda e garantire la protezione di dati personali e sensibili in modo responsabile, come tutti ci aspettiamo.
