E’ sempre più vicina la data del 25 maggio, quando il GDRP diverrà realtà a tutti gli effetti e potranno pertanto essere applicate anche delle sanzioni. E per chi si chiede se ci sarà una proroga al regolamento, la risposta è no.
A questo punto del percorso verso la conformità, le aziende non hanno più bisogno di spiegazioni teoriche, ma richiedono concretezza per capire come muoversi praticamente in questo nuovo ambito e sapere se hanno disponibili tutti gli elementi per definire un corretto piano di adempimento e, in caso contrario, capire dove attingere le informazioni e gli elementi mancanti.
Confcommercio e Promo.Ter Club della Sicurezza, in collaborazione con il Gruppo di lavoro sicurezza informatica di Assintel, si propongono di affiancare le aziende in questo percorso con un servizio specifico, aiutandole a capire “cosa fare, come farlo e come gestirlo”. Confcommercio propone con questa finalità uno Sportello GDPR & Sicurezza Informatica, un punto di riferimento del mercato sulle tematiche di cybersecurity e data protection.
“Vogliamo dare agli imprenditori delle Pmi concrete indicazioni sulle cose da fare o da non fare per difendere il business da possibili violazioni della sicurezza delle informazioni aziendali – scrive Assintel nel suo vademecum -. Perchè tutte le aziende di ogni settore nella gestione quotidiana creano, consultano, gestiscono informazioni con strumenti informatici aziendali, propri o in outsourcing o anche in cloud”.
Momento di rottura
Si tratta del primo provvedimento che tratta i dati delle persone plasmato nell’era del social network, un regolamento correlato alla nuova era tecnologica del dato 4.0 a tutela dell’individuo. L’ha spiegato bene Giovanni Ziccardi, Professore di Informatica Giuridica presso l’Università degli Studi di Milano, secondo cui il nuovo regolamento diventa un momento di rottura enorme dopo oltre vent’anni di direttiva e norme derivate e rappresenta una posizione normativamente forte, un provvedimento contro le piattaforme, contro i grandi.
“Il regolamento è infatti rivoluzionario anche nella sua capacità di estensione di applicazione perché è nato nella piccola Europa ma è pensato soprattutto per avere effetto verso le grandi piattaforme tecnologiche nordamericane come Amazon in primis, ma anche Google, Microsoft, Dropbox, Facebook, ecc.”.
In questo senso l’Europa si pone per una volta all’avanguardia con riferimento al sistema di protezione per tutti coloro che trattano i dati di noi europei anche senza avere una sede legale o un punto di riferimento in Europa. Ed è anche il momento di approfittarne – sostiene Ziccardi, “perché queste realtà internazionali hanno già messo a budget 25 milioni di euro, pari al 4% del loro fatturato worldwide, per fronteggiare a livello UE le questioni legale alla privacy”.
Il nuovo regolamento punta anche all’uniformità degli stati, che non vanno alla stessa velocità e spesso non parlano la stessa lingua: la Francia è già un punto di riferimento e “spinge”, la Germania sembra essere il paese matrice della nuova normativa, gli USA manifestano un rinnovato interesse per l’Europa, apprezzando l’efficacia “universale” del Regolamento. E la figura più internazionale del DPO – data protection officer – che faccia da collante dovrebbe unire ed essere un presidio in ogni realtà e in ogni stato nei casi più importanti.
I tre i passi essenziali per difendere il dato
Primo passo – Avere sempre una mappatura quadro-registro dei dati e del trattamento all’interno della realtà aziendale, sia che si tratti di piccola azienda, media o multinazionale, con una mappatura geopolitica del dato. Fare cioè il tracking del dato, di come il questo viene raccolto, dove viene custodito ma anche come viaggia, quando muore e per quale periodo viene conservato.
Secondo passo – Comprendere se è necessario attuare un DPO, cioè una persona all’interno della realtà che sia presidio, che anche se obbligatorio solo per le realtà più ampie, può essere comunque utile.
Terzo passo – Gestire correttamente i data breach, probabilmente la minaccia più importante che il regolamento evidenzia. Capire infine quando è il caso di segnalare all’utente delle anomalie che lo riguardano.
A sottolineare un altro elemento fondamentale per le aziende nella gestione del GDPR Paola Generali, Vice Presidente Assintel e Coordinatrice GdL Sicurezza Informatica di Assintel: “mettere in campo un controllo continuativo e non “one time” e definire le relative contromisure di sicurezza adeguate al contesto dell’azienda e alla criticità dei dati, incluso il budget da mettere a disposizione per implementare le misure di sicurezza. Altro elemento importante è comprovare quello che l’azienda sta facendo per l’accountability e rivolgersi ad esperiti reali se si necessita di supporto”. Lo sportello di Confcommercio può essere per le aziende privacy e sicurezza un valido strumento.
© RIPRODUZIONE RISERVATA
