!css
Leadership di pensiero

Protezione dei dati: c’è un nuovo sceriffo in città?

In principio c’era la digitalizzazione dei dati personali, a cui tutti potevano accedere da qualsiasi luogo. La nuova frontiera, come sempre accade, generò comportamenti abusivi. Non molto tempo dopo arrivarono minacce e violazioni dei dati, come i ransomware o le violazioni di sicurezza. Alcune non furono portate all’attenzione del pubblico e delle autorità, altre sì ma con ritardo... Per affrontare queste problematiche di sicurezza la Commissione europea si è trasformata ancora una volta in uno scudo destinato a proteggere le persone, come aveva fatto con la MiFID II, l’IDD, i PRIIP, la PSD2, ecc. Come si dice nei film, c’è un nuovo sceriffo in città!

GDPR, la risposta legislativa europea

 

Il 25 maggio 2018 il Regolamento generale sulla protezione dei dati (GDPR) è diventato applicabile con novità importanti rispetto alle normative precedenti: il regolamento riguarda tutte le società per tutte le categorie di interessati. Il settore GAFA è ovviamente nel mirino, ma lo sono anche le società industriali e di servizi, siano esse internazionali o locali! A livello di interessati i primi a venire in mente sono clienti e dipendenti, ma il GDPR mira a proteggere anche i dati personali di potenziali clienti, ex-dipendenti, candidati, legali rappresentanti ecc.

 

...Con mezzi adeguati alle sue ambizioni!

 

Quali sono le finalità di questo regolamento?

Rafforzare i diritti sui dati degli interessati, ovviamente, ma anche responsabilizzare maggiormente le organizzazioni, inclusi i fornitori, e infine armonizzare le prassi all’interno dell’Unione europea.

Quali mezzi mette in campo?

Sanzioni amministrative in caso di violazioni dei dati personali che possono arrivare fino al 4% del fatturato mondiale totale (o € 20 milioni per le organizzazioni senza scopo di lucro). Per avere un termine di paragone, in Francia la sanzione massima in caso di violazione dei dati personali era di € 150.000!

 

Bene, ma le banche proteggono già i dati!

 

Sì. E a prima vista il divario da colmare non sembra così ampio (almeno in Francia): il GDPR si basa per il 90% sulla legge francese “Informatica e libertà” del 1978. Che fortuna! Tuttavia, a un esame più attento si scopre che la situazione non è poi così rosea considerati i compiti imposti:

rispettare i diritti sui dati degli interessati, adottare misure di sicurezza e adattare le organizzazioni affinché ruotino attorno al responsabile della protezione dei dati (RPD), solo per dirne alcuni!

 

Tutto nella norma dunque?

 

Non così in fretta!

Il GDPR abbraccia diversi diritti: diritto di accesso, opposizione, rettifica, limitazione al trattamento, diritto all’oblio e il nuovo diritto alla portabilità dei dati. I primi diritti sono generalmente rispettati (accesso, opposizione, rettifica, limitazione), ma nella maggior parte dei casi le organizzazioni adempiono con procedure manuali: l’approccio consiste dunque nell’assicurare che il trattamento sia documentato e valutare la rilevanza della sua automatizzazione (parziale?) a seconda dei volumi registrati e previsti. Nulla di straordinario di fatto, anche se il diritto di accesso potrebbe risultare difficile da implementare tenuto conto della portata dei dati personali da comunicare all’interessato.

 

Allora dov’è l’inghippo?

 

Rispettare il diritto all’oblio e il diritto alla portabilità dei dati di sicuro solleva grandi problemi a livello informatico. Se si chiede a un CIO di pulire il suo database, questi probabilmente invocherà l’inesistenza del repository di dati, la legacy IS, la mancanza di controllo sulla propagazione dei dati e l’interdipendenza tra le varie banche dati, il rischio sistemico sul sistema informativo ecc. Le organizzazioni devono analizzare attentamente questo problema spinoso e prendersi il tempo di individuare possibili strategie.

La normativa prevede il diritto all’oblio, che può essere ottenuto con l’anonimizzazione (da non confondere con la pseudonimizzazione), così come la containerizzazione (o segregazione dei dati) in alcuni punti ecc.

Il diritto alla portabilità dei dati è un tema problematico, perché il perimetro dei dati che potrebbero essere trasferiti non è ancora definito!

 

E che dire della protezione dei dati e della cybersicurezza?

 

Le misure di sicurezza dovrebbero essere più facili da implementare... per le società di dimensioni importanti. Normalmente queste imprese hanno dei CISO (Chief Information Security Officer) che si occupano a livello strutturale e generale della protezione dei dati, e non solo della protezione dei dati personali. Alcune società sono inoltre qualificate come fornitori di servizi essenziali esternalizzati e quindi sono già ben equipaggiate, in particolare in termini di lotta contro i crimini informatici, oltre agli altri rischi IT. Le valutazioni del rischio dovranno essere più complete, ma dovrebbe bastare.

 

Cosa rimane da fare?

 

Infine, le società devono incentrare la loro organizzazione in modo che ruoti attorno alla figura del RPD, un compito che potrebbe comprendere tutti gli altri requisiti previsti dal regolamento: governance del GDPR, obbligo di informazione, formalizzazione delle metodologie di protezione dei dati fin dalla progettazione e per impostazione predefinita, rischi del responsabile del trattamento, aggiornamento di standard, procedure, piani di controllo e formazione. Questi temi devono essere sviluppati, ma non da zero: l’organizzazione esistente può ampliarsi per diventare conforme al GDPR.

 

Quindi, poi, tutto a posto?

 

Neanche per sogno: occorre adottare un approccio al rischio documentato. Perché documentato? In caso di ispezione da parte dell’autorità di controllo, la società deve essere in grado di dimostrare un programma di conformità chiaramente definito e l’assegnazione delle risorse necessarie a rispettare gli orizzonti di adempimento osservati sul mercato: maggio 2018, fine 2018 e fine 2019.

Con i piccoli ci andranno piano, ma con i grandi... si salvi chi può!