Il nuovo Regolamento Ue sulla Data Protection (General data protection Regulation, GDPR) entrerà in vigore il 25 maggio del 2018. Dal punto di vista delle istituzioni europee, il nuovo regolamento imporrà alle aziende di farsi carico e mitigare il rischio privacy.
Dal punto di vista degli hacker, invece, troppe organizzazioni lasciano le porte aperte a intrusioni e attacchi.
La mancata protezione dei dati e la loro non corretta gestione possono portare ad azioni punitive nei confronti delle aziende che si muovo nell’economia digitale. Ecco quindi alcuni motivi di malinteso riscontrati dal sito specializzato Computerweekly.com confrontandosi con fornitori IT e clienti.
Mito numero 1: che sia soltanto una questione di hacker
E’ vero che gran parte delle questioni che riguardano il GDPR si concentrano su hacking e data breach, ma il GDPR non riguarda soltanto questi due aspetti.
Ad esempio, oggi la legge in materia di Data Protection in vigore nel Regno Unito fa pagare 10 sterline a che chiede l’accesso ai suoi dati ad aziende e organizzazioni. Con il GDPR questa operazione diventerà gratuita, fatte salve alcune eccezioni come la richiesta frequente, la richiesta manifestamente infondata o le domande eccessive o quelle in molteplice copia. Per questo, c’è da aspettarsi un aumento delle richieste da parte dei singoli, clienti e impiegati, di dati presenti e passati.
Il termine per la risposta è di 30 giorni. Un termine molto stringente se le richieste sonoo molte. Ce la faranno le aziende a rispettare i termini?
Mito numero 2: è tutta una questione di evitare le multe
Molti puntano l’attenzione sull’entità elevata delle multe previste per chi non rispetterà le nuove regole sulla data protection, fino a 20 milioni di euro o pari al 4% del fatturato globale annuo.
Un’altra fonte di preoccupazione per le aziende, in caso di data breach, è l’obbligo di comunicare ai diretti interessati il furto o la perdita dei dati dei clienti entro 72 ore. Ad esempio, in caso di furto o perdita dei dati delle carte di credito dei clienti, che potrebbero così finire in mano agli hacker, le organizzazioni dovranno tempestivamente avvertire le vittime.
Nel caso di una perdita massiva di dati, il rischio principale per le aziende è perdere in un colpo solo grandi fette di clientela, se non tutti i clienti, che potrebbero decidere di passare alla concorrenza.
In altre parole, prima della multa per la mancata comunicazione del data breach, il danno maggiore per le aziende riguarda la reputation e il rischio di veder volatilizzata la clientela.
Mito numero 3: è soltanto un problema tecnologico
Il GDPR parla fondamentalmente di dati personali, e la parola dati spesso indica un legame stretto con l’IT.
Ma il GDPR non è soltanto IT, anzi. Rappresenta un cambio culturale netto della modalità di trattamento dei dati personali all’interno delle organizzazioni, che dovranno rispettare dei criteri ben precisi, rispondendo a una serie di domande ben chiare.
Da dove arrivano i dati personali?
Come sono stati ottenuti?
Come saranno usati?
Dove saranno conservati?
A chi devono passare e come saranno utilizzati?
Vista la complessità, rispettare il GDPR sarà quindi per forza frutto di un lavoro di squadra e coinvolgerà diversi uffici e dipartimenti dell’organizzazione.
Chi lavora nel dipartimento IT potrà quindi essere responsabile e gestire la compliance del GDPR, ma non dovrà mai farlo da solo, perché sarà necessario coinvolgere tutta l’organizzazione in questa delicata attività che investe l’insieme degli uffici.
Mito numero 4: la compliance al GDPR è un lavoro del responsabile IT
E’ vero che con l’entrata in vigore del nuovo GDPR sarà obbligatorio nel settore pubblico e privato nominare un DPO (Data Protection Officer).
Molte aziende si limiteranno ad affidare questa responsabilità al Direttore del dipartimento IT.
Tuttavia, dal punto di vista legale non sembra questa la soluzione ottimale, visto che il DPO non dovrà avere conflitti di interesse di nessun tipo. Ad esempio, se un direttore IT è anche responsabile di processare i dati personali dell’organizzazione, di certo non potrà nel contempo essere responsabile della compliance al GDPR dei dati personali che lui stesso ha messo in atto. Sarà quindi necessario un arbitro terza parte, super partes.
Mito numero 5: la compliance si raggiunge molto rapidamente
Il nuovo GDPR costringe le organizzazioni a guardare con occhio diverso a come gestiscono i dati personali, in particolare i data base dei clienti. Sarà un duro lavoro, che coinvolgerà un po’ tutti: il dipartimento legale, le vendite, il marketing, il Finance, le risorse umane e l’IT. Il tempo stringe, il GDPR entra pienamente in vigore a maggio del 2018, meglio muoversi in fretta.
