Ecco perchè se non sai cos'è il GDPR è un gran problema
Il GDPR è il nuovo Regolamento europeo sulla protezione dei dati personali dei cittadini dell’Unione Europea che entrerà in vigore il 25 maggio 2018
MILANO - Manca poco tempo per adeguarsi al regolamento europeo in materia di protezione dei dati personali (GDPR). Il GDPR è il nuovo Regolamento europeo sulla protezione dei dati personali dei cittadini dell’Unione Europea che entrerà in vigore il 25 maggio 2018. Nonostante sia stato pubblicato due anni fa sulla gazzetta ufficiale, secondo le ultime ricerche sono molti i dubbi delle aziende che devono adeguarsi, anche perché la procedura non è così semplice. Secondo un nuovo sondaggio condotto da SAS, meno della metà (45%) delle organizzazioni intervistate ha un piano strutturato per adeguarsi in vista della scadenza e più della metà (58%) sostiene che la propria azienda non è del tutto consapevole delle conseguenze derivanti dalla mancata conformità al regolamento.
Il GDPR impone sanzioni molto pesanti alle organizzazioni che violeranno il regolamento: fino al 4% del fatturato globale annuo o massimo 20 milioni di euro. Le multe entreranno in vigore entro due anni dalla ratifica del GDPR. L’impatto su enti e imprese sarà impegnativo da due punti di vista: quello tecnologico e quello organizzativo legale.
La sicurezza è uno degli aspetti contemplati nella normativa e la situazione generale non è delle migliori, dall’ultimo rapporto Clusit emerge come da gennaio a giugno di quest’anno siano stati 571 gli attacchi gravi di dominio pubblico (ovvero attacchi che hanno avuto un impatto significativo per le vittime, in termini di danno economico, reputazione e diffusione di dati sensibili), che corrispondono ad una crescita dell’8,35% rispetto al secondo semestre 2016.
Portabilità dei dati e diritto all’oblio
Secondo il regolamento GDPR, gli individui hanno il diritto di richiedere la cancellazione o il trasferimento dei propri dati personali a un'altra organizzazione. In particolare i dati devono essere forniti in formato strutturato, di uso comune e leggibile da dispositivo automatico. L'obiettivo di tale diritto è quello di accrescere il controllo degli interessati sui propri dati personali, facilitandone la circolazione, la copia o la trasmissione da un ambiente informatico all’altro. Per l'interessato, la portabilità dei propri dati implicherà non solo di ricevere un sottoinsieme dei dati personali che lo riguardano e di conservarli in vista di un utilizzo ulteriore per scopi personali, ma anche di ottenere la trasmissione degli stessi da un titolare ad un altro, «senza impedimenti» da parte del primo. Ciò, infatti, è volto principalmente ad evitare fenomeni di dipendenza forzata dell’interessato da un determinato fornitore di servizi (il cosiddetto lock-in).Da ciò scaturiscono numerose domande sugli strumenti e sui processi di cui le aziende devono disporre. Per il 48% degli intervistati, la ricerca dei dati personali all'interno dei database (ad esempio set di dati copiati, dati CRM) rappresenta una vera e propria sfida.
Il 58% delle organizzazioni che hanno partecipato al sondaggio dichiara di avere alcuni problemi con la gestione della portabilità dei dati e il diritto di cancellazione degli stessi. Anche il controllo dell'accesso ai dati personali è una questione estremamente seria. Le aziende di grandi dimensioni e gli istituti finanziari hanno maggiore difficoltà a trovare i dati personali archiviati rispetto ad altre organizzazioni.
Una figura chiave e nuova per la sicurezza del dato richiesta dal GDPR è quella del DPO (Data Protection Officer), che dovrà avere più competenze tecniche: deve conoscere le normative, avere capacità comunicative e un’accurata conoscenza dell’organizzazione del settore in cui si trova ad operare. Allo scopo il Dipartimento di Giurisprudenza dell’Università di Torino ha attivato un corso dedicato.
I vantaggi del GDPR
Alla domanda sui potenziali vantaggi del GDPR, il 71% degli intervistati ritiene che il regolamento comporterà un miglioramento nella governance dei dati. Dal sondaggio risulta inoltre che il 37% delle organizzazioni ritiene che le proprie capacità informatiche miglioreranno man mano che ci si impegnerà per adeguarsi, mentre il 30% concorda sul fatto che la conformità al GDPR favorirà la propria immagine aziendale. Le aziende ritengono inoltre che l'impegno investito nel processo di conformità risulterà vantaggioso anche per i clienti. Dal sondaggio risulta che il 29% delle organizzazioni ritiene che la soddisfazione dei clienti aumenterà proporzionalmente al loro impegno per adeguarsi al regolamento GDPR.