Mancano meno di tre mesi all’entrata in vigore del Gdpr. Dal 25 maggio 2018 entrerà pienamente in vigore il Regolamento Europeo in materia di Protezione dei Dati Personali che costituirà un vero cambio di passo per la gestione e tutela dei nostri dati personali. Una data importante per le Istituzioni, consumatori e imprese. A queste ultime è rivolto, in particolare, il convegno* ‘Cyber Security e Regolamento UE 2016/679: Cosa cambia per le Imprese?’, promosso a Roma il 7 marzo da BLB Studio Legale, che vuole costituire un’occasione di riflessione riguardo i profili tecnico-giuridici della cybersecurity, le principali novità e l’impatto del regolamento UE e della Direttiva 1016/1148 sulle imprese. Dunque maggio è un mese importante per la privacy e per la cybersecurity perché oltre al Regolamento europeo sulla Data Protection (il 2016/679), dovrà essere recepita la Direttiva Ue 2016/1148, che prevede obblighi in materia di sicurezza dei sistemi.
Quale impatto questi due provvedimenti avranno sulle imprese lo abbiamo chiesto all’avvocato Paolo Galdieri, docente di Informatica Giuridica presso la Facoltà di Giurisprudenza dell’Università Luiss – Guido Carli, uno dei massimi esperti in Italia di cybercrime e segretario generale dell’ANDIG (Associazione Nazionale Docenti Informatica Giuridica).
Key4biz. Perché il Gdpr dovrebbe avere un sicuro impatto sull’attività delle imprese?
Paolo Galdieri. Per diverse ragioni. In primo luogo, perché nel perseguire il fine del corretto trattamento dei dati introduce nuove regole organizzative. In secondo luogo, in quanto l’inosservanza delle prescrizioni comporta sanzioni pesanti, commisurate al fatturato dell’azienda. Inoltre, la normativa impone meccanismi di tracciabilità che costringeranno le imprese ad individuare i soggetti e le relative responsabilità. In altre parole, la gestione dei dati personali non sarà più esclusivamente un adempimento, ma un processo aziendale che incide sull’organizzazione nella sua totalità.
Key4biz. Le imprese sono pronte?
Paolo Galdieri. Il Regolamento introduce diverse novità che sono destinate ad incidere in modo evidente nell’attività dell’impresa, in termini di organizzazione e di contenuto dell’attività stessa. Benché diversi siano gli adempimenti e pesanti le sanzioni in caso di inosservanza, la sensazione è che molti non si siano ancora messi in regola e soprattutto non abbiano ben chiara la strategia da intraprendere.
Key4biz. Lei ritiene che si possa ottemperare al Regolamento secondo strategie differenti?
Paolo Galdieri. Il Regolamento, come noto, prevede numerosi adempimenti tra cui: il registro delle attività di trattamento dei dati personali; la valutazione dell’impatto privacy; la nomina del Data Protection Officer; la previsione di meccanismi di protezione dei dati fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita dei dati (privacy by design e privacy by default); nonché l’obbligo di segnalare al Garante ed, in determinati casi, all’interessato, la violazione sui dati (personal data beraches). Di fronte a tale scenario c’è chi pensa di assolvere a tali adempimenti attraverso singoli interventi mirati e chi invece, più correttamente, adotterà una strategia più ampia in modo da razionalizzare l’intera attività aziendale
Key4biz. Perché reputa più corretta questa impostazione?
Paolo Galdieri. Il Regolamento, di fatto, impone una razionalizzazione delle attività, individuando “chi e cosa fa e come lo fa”. Il non rispetto della normativa porta a sanzioni che possono mettere in ginocchio l’impresa. Trattandosi di regole uniche per tutta l’Europa il non mettersi in regola limita la competitività e in concreto non consente di esibire un buon biglietto da visita all’esterno. A queste tre considerazioni va aggiunto il fatto, ma direi il vantaggio, che organizzare correttamente i dati di cui si dispone, valorizzandoli e aggiornandoli, fa si che i database divengano asset da valorizzare nel bilancio aziendale. Se questa è la premessa, ne deriva, inevitabilmente, che la strada da percorrere sia quella di una riorganizzazione dell’impresa in termini razionali, in quanto le nuove norme non riguardano un optional dell’attività, ma l’attività stessa.
Key4biz. Sempre per maggio sono previste nuove regole in materia di cyber security in ottemperanza alla Direttiva Ue 2016/1148
Paolo Galdieri. Si tratta di norme diverse da quelle previste nel Regolamento, sia per quanto concerne l’oggetto, in questo caso non il trattamento dei dati personali, ma i sistemi, sia per quanto riguarda i destinatari, secondo la direttiva in questione soltanto gli operatori di servizi essenziali e i fornitori di servizi digitali. Anche la scadenza ha portata differente, atteso che il Regolamento entrerà direttamente in vigore, mentre la data del 9 maggio, fissata dalla direttiva 2016/1148, si riferisce al termine entro il quale la stessa va recepita.
Key4biz. Nuove regole oltre a quelle del Regolamento?
Paolo Galdieri. In realtà il Regolamento e la direttiva, pur nelle differenze descritte, presentano punti comuni. Innanzitutto entrambi toccano direttamente il tema della sicurezza dei sistemi. Il Regolamento, infatti, si occupa anche, se non soprattutto, della sicurezza informatica. Condividono, inoltre, analoghi obiettivi, prescrivendo misure di sicurezza a presidio di reti, sistemi e dati, proponendo di realizzare legislazioni uniformi in materia, promuovendo, mediante l’innalzamento del livello di sicurezza, lo sviluppo di un mercato digitale comune.
Key4biz. Questo significa che potrebbero adottarsi strategie unitarie?
Paolo Galdieri. Se è vero che la direttiva in questione si riferisce esclusivamente agli operatori di servizi essenziali ed ai fornitori di servizi digitali, la stessa traccia una strada in cui la cyber security viene considerata una vera e propria priorità. In tale direzione vanno anche alcune recenti iniziative nazionali quali: il Decreto Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017 recante misure minime di sicurezza ICT per le pubbliche amministrazioni. Conseguentemente, così come rispetto al trattamento dei dati personali, le imprese dovranno adottare sistemi di protezione adeguati, pena l’incorrere in responsabilità sia di natura civile che penale.
A fronte di tale situazione è auspicabile una strategia unitaria che consenta di rispondere alle esigenze, in parte differenti, della privacy e della cyber security.
Key4biz. Lei che è considerato uno dei massimi esperti in materia di cyber crime ritiene che l’adempimento di queste nuove normative possa contribuire al contrasto della criminalità informatica?
Paolo Galdieri. La razionalizzazione delle attività, e precisamente l’individuazione dei soggetti e delle responsabilità imposte dalle nuove normative, consente sicuramente di prevenire una certa tipologia di reati e, al contempo, agevola l’impresa nell’individuazione delle eventuali responsabilità dei propri dipendenti. Parimenti una strategia fondata sulla razionalizzazione delle attività e della trasparenza permette all’azienda, dotata di modello organizzativo, di contrastare eventuali contestazioni sulla base del Decreto legislativo 231/2001, che come noto, a seguito della legge 48/2008, estende la responsabilità delle imprese anche per i reati informatici perpetrati dai vertici e dai dipendenti.
*Per iscriversi all’evento: info@key4biz.it
Per approfondire:
