Immagina di arrivare in ufficio una mattina qualunque, accendere il computer e vedere “nero”.
Il gestionale non risponde, e nemmeno il server. I file sono spariti. Il database con i dati di clienti e fornitori non è più accessibile.
Perdite del genere accadono sempre agli “altri”. Fin quando non colpiscono soggetti a noi vicini, clienti, partner. O la tua stessa azienda. E, quando succedono, hanno effetti devastanti sull’operatività aziendale.
Soltanto nel primo semestre del 2017 in Italia le violazioni di dati rilevate sono state 918, il 164% in più dell’anno precedente. E il numero è destinato a crescere sensibilmente.
Perché succede tutto questo? Insufficiente valutazione dei rischi, sistemi di monitoraggio assenti, sistemi di sicurezza tecnica e organizzativa inadeguati.
Il nuovo Regolamento europeo 679/2016, nell’acronimo inglese GDPR – General Data Protection Regulation, interviene in un contesto nel quale la gestione di dati personali da parte di imprese ed enti e la sempre più rapida circolazione di tali dati, dovuta all’utilizzo di nuove e potenti tecnologie, sono divenute così invasive da presentare rischi per i diritti delle persone alle quali quei dati appartengono.
Il Regolamento cancellerà la normativa attuale, scritta oltre 20 anni fa (la direttiva 46/1995 CE è stata recepita in Italia con il D.Lgs. 196/2003) in un’epoca in cui gli scambi avvenivano ancora per fax e francobolli. Riforma che si rivelava necessaria e pressante e alla quale il Legislatore comunitario non si è sottratto. Nasce così il GDPR, che introduce una regolamentazione unica per tutti gli Stati membri e diventerà definitivamente operativo e vincolante a partire dal 25 maggio 2018.
Tutte le organizzazioni che hanno uno stabilimento nel territorio dell’UE e che trattano, nell’ambito del loro business, dati personali, dovranno adeguarsi.
Sebbene le sanzioni possano già sembrare un buon motivo per prendere provvedimenti, dato che arriveranno fino a 20 milioni di euro o al 4% del fatturato totale del trasgressore, l’adempimento al GDPR non deve essere visto soltanto come un passo da compiere per non essere soffocati da multe esorbitanti: adeguarsi al sistema di protezione dei dati personali delineato dal GDPR è certamente, per ciascuna impresa, un’opportunità da sfruttare per migliorare esponenzialmente l’efficienza della propria organizzazione e accrescere la propria reputazione all’esterno.
Quali gli impatti principali sulle imprese?
La vera rivoluzione è la sparizione delle misure minime previste dalla attuale normativa. Toccherà all’impresa stessa progettare un sistema di sicurezza adeguato e dimostrare che esso è conforme al Regolamento, secondo il principio del “si è conformi se si è sicuri”. Il GDPR introduce così il principio dell’accountability (responsabilità verificabile), per cui tutti i soggetti che partecipano al trattamento di dati personali devono predisporre e mantenere misure tecniche e organizzative di sicurezza e predisporre la documentazione giustificativa dei trattamenti effettuati. Chi non documenta è soggetto a sanzioni, a prescindere dall’utilizzo che fa dei dati. É sufficiente non avere i documenti per essere sanzionati.
Ogni impresa è tenuta ad effettuare la valutazione dei rischi derivanti dalla raccolta e dal trattamento dei dati dei terzi, definire i gap della propria organizzazione interna rispetto al sistema architettato dal GDPR, stabilire un piano per colmarli e controllare annualmente gli effetti ottenuti. Il Documento sulla Valutazione dei Rischi è obbligatorio per tutte le imprese ed enti pubblici. Ad esso, in caso di rischi elevati, dovrà aggiungersi il Documento di Impatto Privacy (PIA – Privacy Impact Assessment).
Informativa e consenso cambiano, e dovranno rispondere ai nuovi requisiti richiesti dal GDPR.
E’ introdotta la nuova figura del Responsabile per la Protezione dei Dati (DPO – Data Protection Officer). Il DPO sarà il referente dell’Autorità Garante e degli interessati ed è richiesto che abbia requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un soggetto esterno con contratto di servizi.
Ogni ente o impresa che subisce una violazione dei dati (cosiddetto data breach) avrà l’obbligo di effettuare una segnalazione al Garante entro 72 ore dall’evento e, in determinate circostanze, informare anche i diretti interessati nel più breve tempo possibile. Il mancato rispetto di quest’obbligo è gravemente sanzionato.
Il GDPR introduce nuovi diritti per le persone: solo per fare un esempio, il diritto all’oblio, cioè il diritto di ottenere la cancellazione dei propri dati da parte di chi li ha raccolti e trattati; il diritto alla portabilità dei dati, cioè pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico così che io possa farne ulteriore uso, anche presso un altro fornitore.
Le nuove norme UE migliorano la protezione dei dati e rendono più sicuro fare impresa.
Proteggere i dati personali che le persone ti affidano vuol dire proteggere la tua azienda, la sua credibilità ed evitare che resti esposta a sanzioni che potrebbero metterne a repentaglio lo sviluppo.
Info e approfondimenti fabio.ferrara@centocinquanta.it