Il Gdpr è finalmente qui, dopo tanta discussione sull'obbligo di adeguamento al nuovo regolamento europeo sulla protezione dei dati, dopo gli scandali di Facebook e Cambridge Analytica, le audizioni parlamentari di Mark Zuckerberg, e anche dopo la valanga di email di giunte in settimana nelle caselle di posta di chiunque, su indirizzi privati e lavorativi. Perché aziende di ogni tipologia e dimensione maneggiano in qualche modo le informazioni personali degli utenti (clienti, semplici internauti, utililizzatori di app) e perché tutte loro da oggi rischiano sanzioni fino a un massimo del 4% del fatturato in caso di palese inadempienza.
 

Il Gdpr in poche parole
I principi di fondo applicabili alle aziende sono la trasparenza e una sorta di “minimalismo” obbligatorio nella conservazione dei dati. Si dev'essere chiari e chiedere agli utenti esplicito consenso alla raccolta di informazioni su acquisti, preferenze, navigazione Web e via dicendo. Si deve assicurare pseudonimizzazione, cioè custodire le informazioni di profilazione in una forma che impedisca l’identificazione delle persone. Si deve anche comunicare un avvenuto incidente informatico di data breach al massimo entro 72 ore dalla scoperta. Ai vendor di Ict e servizi digitali, inoltre, è richiesto di garantire sicurezza e privacy a tutti i loro prodotti e servizi fin dalla loro ideazione. Il testo voluto dall'Ue introduce anche una figura inedita nel nostro regolamento giuridico, il Data protection officer (Dpo, o in italiano il Responsabile della protezione dei dati), la cui nomina è obbligatoria per alcuni tipi di organizzazione, per esempio gli enti pubblici, quelle che eseguono monitoraggi sistematici e su larga scala di dati personali, quelle che trattano dati sensibili o giudiziari.

 

Compliance anche fuori dalla Ue
L'eventualità di multe pende non solo sulle aziende domiciliate nel Vecchio Continente, ma anche per quelle straniere e per le multinazionali che trattino dati di cittadini europei, da Apple, Google, Microsoft, Facebook, Amazon in giù, ma portemmo citare mille nomi. Una recentissima indagine di Capgemini evidenzia peraltro come solo il 15% delle organizzazioni possa già dirsi totalmente compliant, e come circa una su due si ponga solo il (limitante) obiettivo della sola conformità, senza considerare i vantaggi di efficienza, risparmi e migliore gestione dei dati che potrebbero derivare da un cambio di rotta.

 

 

Piace o non piace?
Sulle conseguenze e sui pro e contro del l General Data Protection Regulation molto si è detto, considerando anche l'inevitabile rapporto fra Information Technology e dati. Vi proponiamo una raccolta di riflessioni di chi queste tecnologie le sviluppa e le vende e di alcuni osservatori del mercato.

 

Il Gdpr sarà una vera e propria rivoluzione copernicana per le imprese europee. Oltre a essere una sfida tecnologica che promuoverà una rinnovata attenzione agli investimenti in sicurezza It, la normativa sarà l’occasione per sviluppare una nuova cultura aziendale attorno alla gestione dell’informazione e della privacy dei dati”.
Giancarlo Vercellino, research and consulting manager di Idc Italia

.

È chiaro che il Gdpr ha implicazioni di vasta portata per tutta l’organizzazione a causa dell’inclusione dei dati digitali e dei nuovi (o aggiornati) diritti. In realtà, secondo le stime di Getronics, l’80% dei requisiti del Gdpr era già coperto dalle preesistenti normative in tema di protezione dei dati o dalle diverse direttive europee. L’attenzione deve, dunque, essere concentrata sul restante 20%”.
Paul Key
, global director security & compliance di Getronics

 

Il Gdpr è sicuramente una cosa positiva. Finalmente si introduce il concetto secondo cui le misure di sicurezza debbano essere commisurate al rischio dei dati trattati e non semplicemente a una serie di “misure minime”, peraltro spesso disattese. Tuttavia l’approccio “risk-based” richiesto dal Gdpr è complesso da realizzare, e un possibile pericolo sarà quello della eccessiva semplificazione di questo concetto, ad esempio con una valutazione del rischio alto, medio e basso, fatta tanto per ottenere un risultato”.
Renato Castroreale
, direttore tecnico di Sistemi Hs

 

È opportuno che le organizzazioni investano in appositi strumenti per mappare i flussi di dati, per rilevare l’ubicazione dei dati personali all’interno dei loro sistemi e per proteggerne e monitorarne l’accesso. Un fattore importante, che ha alimentato nei mesi il dibattito aziendale, è l’accento posto dal Gdpr sulle violazioni dei dati. Ancora oggi, quando parlo con i clienti, mi vengono poste molte domande sull’implementazione vera e propria: i tempi della reportistica, a chi inviare le segnalazioni, quali siano gli obblighi del titolare del trattamento e il nesso fra sicurezza e violazione dei dati”.
Christoph Luykx, chief privacy strategist di CA Technologies

 

Nonostante le numerose preoccupazioni, l’applicazione del Gdpr sul fronte del tracciamento dei dati Web ai fini pubblicitari sarà per le aziende italiane del marketing sostanzialmente indolore, in quanto già nel 2015 il Garante Italiano per la Privacy ha imposto a tutti gli operatori l’adozione di un processo basato sull’informazione preventiva e sulla raccolta del consenso esplicito dell’utente, che deve avvenire prima dell’erogazione dei cookie di profilazione sul sito da lui visitato”.
Daniele Sesini, direttore generale di Iab Italia

 

La legislazione implica che l'intelligenza artificiale debba evolversi in uno scenario di tutela dei diritti dei dati dei cittadini che non ha precedenti. Sebbene questo sia positivo, le preoccupazioni che la tecnologia possa superare indenne l'efficacia del Gdpr sono legittime, in particolare nel momento in cui i confini della proprietà dei dati automatizzati diventano più difficili da definire”.
Paolo Arcagni, system engineer manager di F5 Networks

 

Anche se il Gdpr è un buon primo passo, non può e non deve essere l’ultimo. Questo perchè non si spinge abbastanza lontano. Il legislatore deve approvare ulteriori leggi che sanzionino anche l’adozione di misure di sicurezza inadeguate. Punire solamente i comportamenti scorretti nella segnalazione di una violazione dei dati è paragonabile a punire un rapinatore di banca non per la rapina in sè, ma per eccesso di velocità durante la fuga”.
Daniele Nicita, consulting systems engineer di FireEye