14/05/2018 di Redazione

Assecondare il Gdpr non è soltanto una questione tecnologica

L’adeguamento al nuovo regolamento europeo (per cui dal 25 maggio scatta la possiblità di sanzioni) riguarda anche i processi, le abitudini e le regole aziendali non direttamente legate alla tecnologia. Getronics ci racconta come è cambiato il mestiere de

immagine.jpg

Manca poco: dal 25 maggio chi sarà colto in fallo a non rispettare il Gdpr rischierà sanzioni, che potranno arrivare fino al 4% del fatturato globale dell’azienda. Che cosa si celi dietro l’acronimo dovrebbe ormai non essere un segreto: il General Data Protection Regulation è il testo già approvato dall’Unione Europea e a cui le organizzazioni pubbliche e private degli Stati membri devono adeguarsi, mettendo fine alla frammentazione finora esistente in tema di raccolta, trattamento, conservazione e protezione dei dati di utenti e cittadini. Adeguarsi al Gdpr richiede in molti casi un investimento in nuove tecnologie, hardware o software che siano, o la scelta di differenti servizi da fornitori e outsourcer. Tutto questo cambiamento riguarda da vicino I system integrator, come ci spiega Paul Key, global director security & compliance di Getronics.

 

Paul Key, global director security & compliance di Getronics

 

Il 25 maggio prossimo entrerà in vigore il Gdpr, il Regolamento Generale sulla Protezione dei Dati, il cui obiettivo principale è restituire ai cittadini il controllo dei dati personali, semplificare lo scenario legislativo per le imprese internazionali e regolamentare l’esportazione dei dati personali al di fuori dell’Unione Europea. Il Gdpr è la prima normativa a trattare i dati digitali con estrema chiarezza e, avendo effetti su qualsiasi funzione aziendale che elabora dati personali (dalle HR all’ufficio legale, dal marketing al finance), riguarda l’azienda nella sua interezza. Ecco perché esso non può essere considerato di esclusiva pertinenza dell’It, nonostante quest’ultimo svolga di fatto una funzione di primo piano ai fini della compliance di ciascuna componente aziendale.

 

Per uniformarsi alla nuova normativa Getronics ha innanzitutto seguito le direttive definite da diverse authority, tra cui l’Ico (Information Commissioner's Office) in Gran Bretagna. Il percorso di adeguamento è iniziato nei primi mesi del 2017, quando i diversi stakeholder sono stati informati sulle scadenze imposte dal nuovo regolamento, sull’impatto che questo avrebbe avuto nelle aziende e sui cambiamenti necessari. In seguito, è stata creata una community incaricata di portare avanti gli step successivi del processo, come ad esempio:

 

  • definizione e registrazione delle tipologie di dati personali trattati;
  • revisione e aggiornamento di policy e procedure;
  • revisione e aggiornamento delle informative sulla privacy;
  • revisione e aggiornamento delle richieste di accesso;
  • introduzione di una valutazione d’impatto (Dpia, Data Protection Impact Assessment) per ciascun team e processo;
  • revisione degli approcci al marketing e alle comunicazioni con l’esterno;
  • revisione delle modalità per ottenere e registrare il consenso.

 

L’impatto sui system integrator
L’impatto del Gdpr per il comparto degli IT integrator riguarda molte funzioni aziendali. Ad esempio, in relazione alle funzioni di customer engagement, il Gdpr impone condizioni e norme più rigide per l’ottenimento del consenso da parte dei singoli individui, i quali hanno peraltro il diritto di revocare in qualsiasi momento tale consenso. Ciò significa che ogni organizzazione dovrebbe mantenere un registro verificabile e contrassegnato da date specifiche per poter dimostrare che una persona ha esplicitamente accettato di ricevere determinate informazioni, come newsletter o materiale marketing.

Il consenso dovrà, inoltre, riguardare la specifica attività di trattamento richiesta e le aziende dovranno avere un’informativa sulla privacy chiara, semplice e facilmente accessibile direttamente collegata al tipo di consenso richiesto di volta in volta. In funzione di ciò, le aziende dovranno, inoltre, verificare da dove provengano i propri dati di marketing: nel caso siano stati acquistati da una terza parte, quest’ultima ha ottenuto il preventivo consenso all’utilizzo dei dati per quel particolare fine? Il Gdpr pone in capo alle aziende la responsabilità di ottenere il corretto livello di consenso prima che i dati vengano usati ed esclude la possibilità di dare per scontato il consenso o di aggiungere un semplice disclaimer solo alla fine delle comunicazioni.

 

Una compliance ancora incompleta
È chiaro che il Gdpr ha implicazioni di vasta portata per tutta l’organizzazione a causa dell’inclusione dei dati digitali e dei nuovi (o aggiornati) diritti. In realtà, secondo le stime di Getronics, l’80% dei requisiti del Gdpr era già coperto dalle preesistenti normative in tema di protezione dei dati o dalle diverse direttive europee. L’attenzione deve, dunque, essere concentrata sul restante 20%.

Ovviamente, sono diversi i modi per raggiungere la piena compliance e ogni organizzazione deve stabilire il proprio livello di rischio e implementare gli aggiornamenti o le forme di controllo più adeguate. Poiché, sfortunatamente, il Gdpr non prevede una ricetta valida per tutti, tra le principali aree da prendere in considerazione non vanno dimenticate:

  • le procedure Sar (Subject Access Request) per garantire l’allineamento ai nuovi Service Level Agreement nell’ambito della normativa;
  • le procedure di comunicazione delle violazioni di sicurezza, per garantire che l’azienda disponga di un format standard e ripetibile per la descrizione dei fatti e per l’allineamento agli Sla definiti dalla normativa. Posto che dovrà essere chiaramente specificato a chi inviare la comunicazione, un’azienda multinazionale dovrà collaborare con l’authority di riferimento per le comunicazioni con altre authority nel caso in cui la violazione riguardi più paesi europei;
  • test periodici sui meccanismi di controllo per la protezione dei dati;
  • l’aggiornamento dei sistemi e dei servizi in funzione dei nuovi diritti posti in essere dalla normativa: il diritto a essere informati, quello di rettifica, quello di cancellazione od oblio, il diritto al trattamento limitato dei dati, alla portabilità dei dati, all’opposizione al trattamento dei dati, e ancora diritti relative alla profilazione e ai processi decisionali automatizzati.
  •  

 

E l’Italia?
Secondo un recente audit svolto da Idc per Microsoft nel mese di gennaio, solo il 3% delle realtà con più di dieci addetti è già in regola con il Gdpr, mentre il 43% ha appena iniziato l’analisi e il 54% ha già un piano per la conformità. Il maggior tasso di conformità si registra nel Finance e nella Pubblica Amministrazione (10% e 8%) mentre nei settori Manifacturing e Servizi si registra la più alta percentuale che solo da poco ha iniziato ad affrontare il problema (53% e 60%).

Oltre la metà delle imprese segnala come particolarmente impegnativi i requisiti tecnici, quali: l’obbligo di notifica dei data breach entro 72 ore (70%), la necessità di implementare in modo sempre più strategico soluzioni di crittografia e/o anonimizzazione dei dati (60%), la definizione di casi d’uso specifici nella gestione del consenso (48%). Tra i processi organizzativi ritenuti più sfidanti ci sono la classificazione di tutti i dati (67%), la sensibilizzazione dei dipendenti ai cambiamenti nelle policy di sicurezza (62%) e l’eliminazione dei dati irrilevanti (62%). Questi dati evidenziano con chiarezza come il Gdpr sia una rivoluzione che le imprese italiane hanno compreso ma per governare la quale richiedono un supporto diretto, competente e multidisciplinare, auspicabilmente con una prospettiva internazionale. Getronics, forte della sua presenza globale e dei propri centri di competenza, è pronta a fare la sua parte.

 

ARTICOLI CORRELATI