General Data Protection Regulation

Polimi: sul GDPR aziende italiane in ritardo. Ecco come prepararsi alla scadenza di maggio 2018

Per l’Osservatorio Security & Privacy quasi la metà delle organizzazioni non conosce o non ha ancora affrontato le implicazioni del nuovo Regolamento Europeo sul trattamento dei dati personali. Tra i punti da affrontare Data Protection Officer, segregazione dei dati del cliente, Data Protection Impact Assessment. Coinvolte anche le PMI

Pubblicato il 20 Gen 2017

data-protection-gdpr-170120162221

Entrerà in vigore il 25 maggio 2018 il Nuovo Regolamento europeo in materia di trattamento dei dati personali, RGPD (o General Data Protection Regulation, GDPR), ma ancora molte organizzazioni non stanno affrontando in modo compiuto e organico tutta la ventata di novità e implicazioni che la normativa in questione comporta. Il tema, invece piuttosto scottante, è stato affrontato al convegno “Il Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza” organizzato dalla School of Management del Politecnico di Milano.

Oltre 500 partecipanti hanno seguito gli interventi di un qualificato parterre di relatori:  Alessandro Piva (Direttore Osservatorio Information Security and Privacy della School of Management Politecnico di Milano), Gabriele Faggioli (Presidente CLUSIT, Associazione Italiana per la Sicurezza Informatica), Alessandro Vallega, tra i fondatori di EuroPrivacy (blog che raccoglie contributi sul tema del GDPR), Antonio Caselli (Responsabile dell’Unità Documentazione Internazionale e revisione del quadro normativo UE presso l’Autorità Garante per la Protezione dei Dati Personali), Donatella Sciuto (Professore Ordinario di Architettura dei Calcolatori e Sistemi Operativi del Politecnico di Milano), Raoul Brenna (Responsabile della Practice Information Security di CEFRIEL), Sergio Fumagalli (contributor di EuroPrivacy) e Fabio Guasconi (membro del Direttivo di CLUSIT).

Il quadro attuale

I dati raccolti dall’Osservatorio Security & Privacy del Politecnico di Milano mettono in luce la grave disattenzione della maggior parte delle aziende private rispetto ai vincoli che il GDPR impone, con le implicazioni a livello tecnologico e organizzativo che questi comportano. Per poter realizzare le modifiche organizzative richieste dal regolamento occorre coinvolgere il management delle aziende, sfruttando il (poco) tempo a disposizione per compiere gli interventi necessari a prepararsi alla scadenza del 25 maggio 2018 cautelandosi contro il rischio di commettere illeciti ed essere, quindi, pesantemente sanzionati (fino a 10 milioni di euro o al 2% del fatturato).

Ma cosa hanno fatto le aziende italiane finora? Secondo un’indagine dell’Osservatorio Security & Privacy del Politecnico di Milano su un campione di 136 responsabili della sicurezza e CISO di grandi aziende italiane tra settembre e novembre 2016, quasi la metà delle organizzazioni non conosce (il 23%) oppure conosce ma non ha affrontato (il 22%) le implicazioni del nuovo Regolamento.

Il restante 55% ha in corso un’analisi dei requisiti o ha già implementato (solo il 9%, per la verità) un progetto strutturato di adeguamento alla normativa. Inoltre la metà delle organizzazioni ammette di non avere un budget dedicato per adeguare il proprio impianto di data protection ai requisiti piuttosto stringenti definiti dal GDPR e non pare intenzionata ad averlo in futuro. Il 35% ha un budget dedicato ma non lo ha ancora stanziato e solo il 15% sostiene di avere un budget stanziato con un orizzonte temporale di un anno (l’8%) o superiore ai 12 mesi (il 7%).

I cambiamenti organizzativi sono ancora limitati: nel 12% dei casi sono stati definiti nuovi ruoli professionali; nel 9% un team di lavoro trasversale e interdisciplinare; nel 34% delle organizzazioni non c’è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi, mentre nel 45% non sono previste modifiche neanche in futuro. Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi legati alla privacy (42%); il coinvolgimento di consulenti esterni (39%); la definizione di responsabilità e owner di processo (26%); le azioni informative verso il top management e il CdA (25%); la revisione profonda degli attuali sistemi di IT security (22%); attività di formazione (20%) e la definizione di nuovi processi decisionali e comportamentali (12%).

L e responsabili degli uffici Legal, mentre la maggior parte delle aziende ignora o ha poco chiare le implicazioni concrete per l’area Sistemi Informativi e i rapporti con i fornitori di servizi di outsourcing delle tecnologie IT. «È necessaria un’accelerazione – mette in guardia il Responsabile Scientifico dell’Osservatorio Information Security & Privacy, Gabriele Faggioliper non farsi trovare impreparati alla scadenza del prossimo anno».

I punti da affrontare

Alcuni concetti sono ancora poco noti e sul palco gli interventi hanno tentato di dipanare il groviglio legal-tecnologico che sta dietro ad alcune definizioni fondamentali come “Privacy by design” – il principio che obbliga le organizzazioni a incorporare la tutela della privacy fin dall’ideazione e progettazione di un processo o di un servizio aziendale, tutelando il dato sin dalla progettazione dei sistemi informatici che ne prevedono l’uso.

Legato a questo tema c’è poi quello della “Privacy by default”, che impone la tutela della privacy come impostazione predefinita. I dati personali raccolti con la compilazione di un form o la registrazione a un evento devono SEMPRE (anche in momenti successivi) esser trattati entro un percorso definito da policy aziendali che ne regolamentino diffusione e divulgazione.

Non nuova, ma oggetto di attenzione, è la figura obbligatoria del DPO (Data Protection Officer), il responsabile unico della protezione dell’integrità e della sicurezza dei dati personali in azienda. «Si tratterà di una figura ibrida – ha spiegato Faggioli – un manager con competenze in ambito legal e di applicazione delle norme, ma anche di sicurezza informatica e tecnologie a questa affini». Un altro nodo da sciogliere, come sostenuto da Antonio Caselli dell’ufficio del Garante per la Privacy, sarà quello dei riflessi dell’applicazione del GDPR per le aziende che si avvalgono di servizi esterni che implichino la gestione di dati relativi ai propri clienti.

La segregazione dei dati personali, ovvero la loro separazione rispetto a quelli di qualsiasi altro cliente, è un aspetto affrontato dal GDPR che si riflette, in particolare, sul day-by-day degli operatori che erogano servizi cloud. L’intervento di Raoul Brenna (Responsabile Practice Information Security di CEFRIEL), si focalizza in particolare su un’altra novità chiave introdotta con il GDPR: l’obbligo di compilare un Data Protection Impact Assessment (DPIA), descrizione sistematica delle modalità attraverso le quali l’azienda verifica che sistemi, applicazioni e, in generale, tutte le tecnologie informatiche che raccolgono e processano i dati, siano realmente ”privacy proof”.

E non si tratta di “cose per grandi” come pensano in molti. Il GDPR, infatti, avrà riflessi rilevanti anche sulla quotidianità delle PMI, come sottolineato da Sergio Fumagalli di EuroPrivacy, che ha citato uno dei casi più eclatanti di data breach degli ultimi anni, quello di Target (all’epoca il secondo retailer più grande degli USA dopo Walmart), causato da un buco di sicurezza nei sistemi IT di un piccolissimo fornitore di servizi di condizionamento del colosso della GDO. Il risultato? 40 milioni di carte di credito rubate, insieme ai dati personali di oltre 70 milioni di persone e un esborso di 165 milioni di dollari per riparare al danno. Questo e altri sono esempi limite, che però hanno aperto gli occhi a molti CEO e imprenditori sull’importanza di una corretta policy di trattamento e protezione dei dati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4