18 agosto 2018
Aggiornato 08:30

E' il momento di adeguarsi al GDPR

Nonostante le difficoltà, c’è ancora l’opportunità di mettersi in regola, ma è necessario affrettarsi
E' il momento di adeguarsi al GDPR
E' il momento di adeguarsi al GDPR (Shutterstock.com)

MILANO - A meno di un mese dal 25 maggio, sono molte le pmi e le pubbliche amministrazioni che risultano essere in ritardo per l’adeguamento al GDPR, il regolamento europeo sulla protezione dei dati. Un adeguamento che, in ogni caso, costerà piuttosto caro alle imprese le quali dovrebbero spendere globalmente ben 200 milioni di dollari. Una spesa destinata ad aumentare e che vedrà probabilmente il picco nel 2019, per effetto della rincorsa delle aziende a mettersi in regola con le norme comunitarie (ve ne abbiamo parlato in questo articolo, ndr.). Nonostante le difficoltà, c’è ancora l’opportunità di mettersi in regola, ma è necessario affrettarsi e fare molta attenzione per non cadere nella trappola di un percorso di adeguamento superficiale, con il rischio di incorrere in sanzioni.

Ne parla con toni sostenuti Andrea Rangone, ceo di Digital360, gruppo attivo nell’accompagnamento delle pmi verso la trasformazione digitale. «L’applicazione delle disposizioni del GDPR è un avvenimento di fondamentale importanza per il mercato digitale - afferma Andrea Rangone –. Il lancio di qualsiasi progetto di innovazione digitale, infatti, oggi passa dalla scelta delle tecnologie per la sicurezza e dalle modalità con cui raccogliere e utilizzare i dati personali. Abbiamo voluto dedicare un momento di approfondimento con i principali attori del settore perché la data protection è un fattore chiave per lo sviluppo di qualsiasi business».

Dalla ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano, a fine 2017 emerge come solo l’8% delle imprese italiane non sia a conoscenza delle implicazioni del GDPR, mentre il 51% ha in corso un progetto strutturato di adeguamento e il 34% un’analisi di dettaglio dei requisiti e dei piani di attuazione. Le principali azioni attivate dalle aziende per mettersi in regola sono la valutazione della compliance (già realizzata dall’87%), l’individuazione dei ruoli e delle responsabilità (80%), la stesura o la modifica della documentazione (77%), la definizione delle politiche di sicurezza e la valutazione rischi (77%).

Non mancano però le criticità. In particolare, le aziende ritengono che dovrebbero essere precisati meglio con apposite linee guida il principio della «privacy by design» e la pseudonimizzazione dei dati personali (evidenziato dal 55%), la valutazione d’impatto sulla protezione dei dati personali (42%), il tema della comunicazione della violazione dei dati personali all’interessato (40%) e la figura del Data Protection Officer (32%). «Siamo ormai agli sgoccioli: mancano pochi giorni alla piena efficacia del GDPR – dice Gabriele Faggioli, CEO di P4I-Partners4Innovation e presidente del Clusit –. Le grandi aziende sono a buon punto nel processo di adeguamento alla normativa, ma non si può dire lo stesso delle pmi e delle pubbliche amministrazioni che appaiono in netto ritardo. L’esperienza di questi mesi di lavoro ci insegna che è ancora possibile fare qualcosa per mettersi in regola puntando sugli adempimenti essenziali. Ma occorre fare presto, perché un adeguamento sostanziale alla nuova normativa non è possibile semplicemente stilando qualche documento. Serve di più: approfondimento giuridico, analisi organizzativa, valutazione tecnologica e verifica di sicurezza. Non c’è più tempo da perdere se non si vogliono rischiare sanzioni».

Uno dei pilastri portanti della normativa è il diritto alla portabilità dei dati, disciplinato dall’art. 20 del regolamento che garantisce all’interessato del trattamento (la persona fisica) di ricevere i dati personali che lo riguardano, o che ha fornito al titolare del trattamento, in un formato strutturato, di uso comune e leggibile, nonché di poter trasmettere ad ulteriori titolari del trattamento tali dati da parte dell’attuale titolare del trattamento. «Non tutti i dati dovranno essere oggetto del diritto alla portabilità - ci spiega Alessandro Basile di Legal DS, studio legale a Milano specializzato sulle tematiche privacy e investimenti in startup, - ma solo quelli relativi all’interessato o quelli che quest’ultimo abbia fornito al titolare del trattamento. Cosa significa? Che tali dati saranno quelli inerenti alle finalità per cui sono trattati, oppure dati attivamente forniti dall’interessato o derivanti da utilizzo di dispositivi/servizi dall’utente stesso. I dati esclusi dal diritto alla portabilità saranno, quindi, quelli dedotti o derivati dal titolare del trattamento e i metadati».

Il diritto alla portabilità dei dati si unisce a molti altri principi collegati e complementari. Il principio di accountability e notificazione data breach, ad esempio. Si tratta della principale novità introdotta dal GDPR, ci spiega Alessandro. «E’ il principio che dispone l’auto-responsabilizzazione del titolare del trattamento dati (solitamente la società o il professionista) in quanto impone a questo una auto-valutazione, tra le tante questioni, di come si stia effettuando il trattamento dati, che tipo di dati si stanno trattando, quali siano le misure di sicurezza adottate e di dove siano collocati i dati». Grazie a questo principio viene abrogata la notifica preventiva al Garante della Privacy e la notificazione nel caso in cui ci sia una data breach. La normativa europea introduce altresì i principi secondo cui il titolare del trattamento dovrà assicurarsi che in fase di sviluppo software/hardware lo sviluppatore sia compliant alla nuova normativa (by design) e a sua volta, in fase di implementazione all’interno della sua struttura, il titolare dovrà rendersi compliant al GDPR (by default). In ultimo, il Data Protection Officer è il nuovo ufficio introdotto dal GDPR, obbligatorio in alcuni casi, che può essere sia interno che esterno alla struttura del titolare del trattamento che monitora e vigila sulla corretta applicazione del regolamento stesso.