In Europa hanno debuttato regole nuove, uguali per tutti, in fatto di protezione dei dati personali. La raccolta, la conservazione e l'utilizzo di questa preziosa materia è ora soggetta al Gdpr, il General Data Protection Regulation, diventato dallo scorso 25 maggio effettivamente applicabile in tutti gli Stati membri, con tanto di possibili sanzioni per gli inadempienti (sia per le aziende europee sia per quelle extraeuropee che offrano prodotti e servizi nel Vecchio Continente). Ma le imprese italiane sono davvero già pronte? Si sono preparate adeguatamente all'obiettivo della compliance, e se non lo hanno fatto come possono rimediare?
Ne abbiamo parlato con Renato Castroreale, direttore tecnico di Sistemi HS, un platinum partner di HP.
Facciamo un primo bilancio sul Gdpr: sì è trattato finora di un vero business? La necessità delle aziende di adeguarsi alle nuove normative ha avuto un impatto sul vostro giro d’affari?
Essendo Sistemi HS in prima linea su questo tema con la sua business unit Uno Legal e con il software GoPrivacy, la risposta è sicuramente sì. Per il resto, certamente le aziende sono ancora indietro sia sullo sviluppo della compliance sia sul prendere delle decisioni, come quelle di acquisto di eventuali soluzioni tecnologiche, se necessarie.
Quali aziende si sono mosse meglio e prima sul fronte della sicurezza dei dati?
Sicuramente le grandi imprese hanno impostato i lavori più di un anno fa, iniziando così il lungo percorso necessario. Ora coloro che hanno ignorato il problema per troppo tempo sono in affanno, mentre le realtà medio-piccole sono confuse, non sanno veramente cosa fare. A tutto ciò si somma l’aggravante delle associazioni di settore, che stanno fornendo informazioni fuorvianti.
Renato Castroreale, direttore tecnico di Sistemi HS
Quali sono i problemi più rilevanti incontrati dai clienti nell’approcciare la conformità al Gdpr?
Il problema più grande è l’impatto sull’organizzazione aziendale, affiancato alla necessità di creare staff dedicati alla privacy. Prima si risolveva tutto con il minimo impatto, perché reputato poco importante, ora l’impegno è davvero degno di nota. Inoltre nascono spesso conflitti sulla competenza delle attività e su chi debba effettuare il lungo lavoro operativo a supporto della compliance e per il suo mantenimento nel tempo.
Quali sono le soluzioni tecnologiche più richieste per proteggere meglio i dati aziendali e quindi la privacy?
Come dicevo, le aziende sono in ritardo sulla compliance e quindi non sono ancora arrivate a determinare se abbiano necessità di prodotti tecnologici. Voglio essere chiaro su questo: la scelta di prodotti tecnologici è e deve essere l’eventuale esito di una valutazione del rischio sui trattamenti di dati gestiti in azienda. Non esistono, quindi, prodotti che risolvono la compliance a prescindere. A tendere gli interventi saranno a 360 gradi, ma credo questo varrà soprattutto per soluzioni di log management e di Siem (Security Information and Event Management). Anche le soluzioni di crittografia dei dati, seppur sopravvalutate nel contesto generale perché da sole non risolvono la questione, saranno di forte interesse.
Che sviluppo immagina, per i prossimi mesi, nel segmento delle soluzioni e dei servizi di sicurezza?
Avranno un ruolo importante, questo è sicuro. Ma se le aziende non comprendono il vero significato di “accountability” e non approcciano le loro scelte con un approccio “risk-based”, anche questi investimenti saranno assolutamente poco utili. Risultati significativi si potranno ottenere solo con la sinergia tra una consulenza di buon livello sulla privacy e buoni servizi tecnologici, compresi quelli di sicurezza.
Maggiori informazioni sul progetto “The Wolf” di HP e su Sistemi HS a questo link.