CSI Piemonte ha promosso il seminario “Privacy: siamo pronti al nuovo regolamento europeo?” per approfondire con esperti del settore gli impatti che il nuovo regolamento GDPR avrà sulla vita degli enti pubblici e delle imprese, dal punto di vista tecnologico, organizzativo e legale.
A meno di 250 giorni dalla data in cui il regolamento europeo relativo “alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, meglio noto come GDPR diventerà operativo, non sembra che le aziende italiane siano davvero pronte e preparate.
Da alcuni report di aprile 2017, come la ricerca targata ESET e IDC, emerge che le aziende private, in particolare le Pmi, sono in forte ritardo sul GDPR: quasi il 78% dei responsabili It delle aziende coinvolte non ha ancora compreso chiaramente l’impatto della nuova normativa, oppure non ne è a conoscenza. Tra quelle che conoscono il GDPR il 20% afferma di essere già conforme, il 59% si sta adeguando e il 21% dichiara di non essere a norma.
E sul fronte Pubblico quale è la situazione?
Quante sono le Pubbliche amministrazioni che, ad esempio, hanno previsto e iniziato ad attuare un piano di adeguamento? Quante hanno predisposto i necessari interventi formativi e divulgativi all’interno della propria organizzazione?
L’impressione è che si stia procedendo, ma ancora a rilento. Quindi la domanda forse più corretta da porsi è: cosa è necessario fare per essere pronti per il 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione Europea?
Tre priorità operative e i compiti del DPO
Durante i lavori è emerso che il Garante ha suggerito alle Pubbliche amministrazioni tre priorità operative:
- la designazione in tempi stretti del responsabile della protezione dei dati;
- l’istituzione del registro delle attività di trattamento;
- la notifica delle violazioni dei dati personali, i cosiddetti data breach.
La figura del DPO, o Data Protection Officer, già operativa in alcuni Paesi dell’UE, ha un ruolo fondamentale: deve raccogliere in sé competenze normative, tecniche, comunicative e di conoscenza profonda dell’organizzazione. È una figura nuova che dovrà essere formata e responsabilizzata.
Dovrebbe essere preferibilmente interna all’Ente, dotata di autonomia e di risorse, probabilmente è possibile che enti Pubblici di piccole dimensioni dovranno aggregarsi e necessariamente ricercare questa figura all’esterno della loro organizzazione.
Il registro dei trattamenti costituisce il punto di partenza per la predisposizione dell’intero impianto documentale: raccoglierà, infatti, i trattamenti effettuati e le procedure di sicurezza adottate.
Il processo di data breach richiede un’attenta analisi e conoscenza delle informazioni gestite, ma soprattutto, ove non già presenti, investimenti tecnologici nelle modalità di monitoraggio, securizzazione e compartimentazione dei danni che ne possono derivare.
Gli enti Pubblici e le imprese saranno dunque maggiormente responsabilizzati.
Per chi non rispetta le regole sono previste sanzioni, anche elevate, fino a 20 milioni di euro o al 4% del fatturato.
Privacy? È anche una questione di sicurezza informatica
Durante i lavori è emerso inoltre che il tema della privacy è strettamente collegato a quello della sicurezza informatica. In Italia, infatti, più che in altri Paesi, le Pa e le imprese sono esposte a questo rischio per la loro struttura e per i ritardi culturali ed infrastrutturali.
Il 2016, come risulta dal Rapporto Clusit 2017, è stato complessivamente l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, non solo dal punto di vista quantitativo, ma anche e soprattutto da quello qualitativo. Rispetto al 2015, nel 2016 la crescita percentuale maggiore di attacchi gravi si osserva verso le categorie “Health” (+102%), “GDO/Retail” (+70%) e “Banking/Finance” (+64%), seguite da “Critical Infrastructures” (+15%).