Protezione dei dati personali, sicurezza e nuove competenze da mettere in campo. Questi i temi affrontati oggi nel seminario “Privacy: siamo pronti al nuovo regolamento europeo?”, organizzato dal CSI Piemonte per approfondire con esperti del settore gli impatti che il nuovo regolamento avrà sulla vita degli enti pubblici e delle imprese, dal punto di vista tecnologico, organizzativo e legale.
Siamo infatti a meno di 250 giorni dalla data in cui il regolamento europeo relativo “alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, meglio noto come GDPR diventerà operativo. Tutti ne parlano e la domanda che tutti si pongono è: a che punto siamo?
Da alcuni report di aprile 2017, come la ricerca targata ESET e IDC, emerge che le aziende private, in particolare le PMI, sono in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha ancora compreso chiaramente l’impatto della nuova normativa, oppure non ne è a conoscenza. Tra quelle che conoscono il GDPR il 20% afferma di essere già conforme, il 59% si sta adeguando e il 21% dichiara di non essere a norma.
E sul fronte pubblico quale è la situazione? Quante sono le pubbliche amministrazioni che ad esempio hanno previsto e iniziato ad attuare un piano di adeguamento? Quante hanno predisposto i necessari interventi formativi e divulgativi all’interno della propria organizzazione? L’impressione è che si stia procedendo, ma ancora a rilento. Quindi la domanda forse più corretta da porsi è: cosa è necessario fare per essere pronti per il 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione Europea? Durante i lavori è emerso che il Garante ha suggerito alle Pubbliche Amministrazioni tre priorità operative: la designazione in tempi stretti del Responsabile della protezione dei dati, l’istituzione del registro delle attività di trattamento e la notifica delle violazioni dei dati personali, i cosiddetti data breach.
La figura del DPO, già operativa in alcuni paesi dell’UE, ha un ruolo fondamentale: deve raccogliere in sé competenze normative, tecniche, comunicative e di conoscenza profonda dell’organizzazione. È una figura nuova che dovrà essere formata e responsabilizzata. Dovrebbe essere preferibilmente interna all’Ente, dotata di autonomia e di risorse, ma probabilmente è possibile che enti pubblici di piccole dimensioni dovranno aggregarsi e necessariamente ricercare questa figura all’esterno della loro organizzazione.
Il registro dei trattamenti costituisce il punto di partenza per la predisposizione dell’intero impianto documentale: raccoglierà infatti i trattamenti effettuati e le procedure di sicurezza adottate.
Il processo di data breach richiede un’attenta analisi e conoscenza delle informazioni gestite, ma soprattutto, ove non già presenti, investimenti tecnologici nelle modalità di monitoraggio, securizzazione e compartimentazione dei danni che ne possono derivare.
Gli enti pubblici e le imprese saranno dunque maggiormente responsabilizzati. Per chi non rispetta le regole sono previste sanzioni, anche elevate, fino a 20 milioni di euro o al 4% del fatturato.
Durante i lavori è emerso inoltre che il tema della privacy è strettamente collegato a quello della sicurezza informatica.In Italia infatti, più che in altri Paesi, le PA e le imprese sono esposte a questo rischio per la loro struttura e per i ritardi culturali ed infrastrutturali.
Il 2016, come risulta dal Rapporto Clusit 2017, è stato complessivamente l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, non solo dal punto di vista quantitativo, ma anche e soprattutto da quello qualitativo. Rispetto al 2015, nel 2016 la crescita percentuale maggiore di attacchi gravi si osserva verso le categorie “Health” (+102%), “GDO/Retail” (+70%) e “Banking/Finance” (+64%), seguite da “Critical Infrastructures” (+15%).
“Il CSI Piemonte ha organizzato questa giornata destinata alle Pubbliche Amministrazioni – ha concluso Ferruccio Ferranti, Direttore Generale del CSI Piemonte – con l’obiettivo di confrontarsi sullo stato di applicazione del nuovo regolamento e sugli impatti che avrà sulla vita degli enti pubblici, in termini di assegnazione di responsabilità e revisione dei processi e della documentazione, confermando il proprio ruolo di supporto in questo percorso”.
