Il nuovo Regolamento europeo sulla Data Protection sarà applicabile a tutti gli effetti fra un anno, ma un anno di tempo potrebbe non bastare alle aziende per prepararsi nel modo giusto. Secondo un’analisi del sito specializzato CSO Online gli adempimenti richiesti e le sanzioni previste per chi sgarra, che potranno arrivare fino al 4% dei ricavi globali pari a 20 milioni di multa, mettono le imprese sul chi va là. Ma secondo diverse indagini condotte negli ultimi tempi le aziende ad oggi sono indietro e faticano a mettersi al passo con le nuove regole in arrivo.
Più del 50% delle imprese non sarà in regola in tempo
Secondo una recente indagine condotta da SailPoint, l’80% degli intervistati considera il nuovo GDPR prioritario per l’azienda, ma soltanto il 25% ha già fatto un piano per adeguarsi alle novità in arrivo. Secondo stime di Gartner, più del 50% imprese coinvolte nel GDPR non sarà in regola prima della fine del 2018.
Le richieste in termini di Data protection e privacy contenute nel GDPR sono molto elevate. E’ vero che l’Europa è da sempre attenta alla protezione della riservatezza e alla tutela dei dati sensibili, però il nuovo regolamento impone un livello di dettaglio per l’enforcement normativo che metterà a dura prova diversi soggetti per rispondere alle aspettative generali in termini di tutela dei dati.
La principali novità saranno l’obbligo di nominare un Data protection officer (Dpo), l’obbligo di notificare alle autorità un data breach entro 72 e cancellare su richiesta i dati personali di clienti e impiegati.
Ognuna di queste novità ha le sue magagne.
Ad esempio, il Data protection officer dovrà essere un impiegato dell’azienda, però risponderà direttamente ai regolatori.
Che c’è di strano?
Un soggetto ibrido come questo sarebbe un’anomalia ad esempio negli Usa, perché il dipendente di fatto ha l’obbligo di rispondere non all’azienda ma alle domande del regolatore per segnalare eventuali incongruenze interne.
Se l’azienda volesse rimuovere il Dpo, rimproverarlo oppure spostarlo di mansione, di certo ci sarebbero degli ostacoli. Il Dpo potrebbe difendersi dicendo di aver subito un ricatto, una rappresaglia per aver svolto il suo lavoro di segnalazione delle incongruenze aziendali. Una sfida non da poco, il Dpo sarà una sorta di longa manus del regolatore, embedded all’interno dell’azienda per cui lavora.
Chi deve mettersi in regola?
In generale, dovranno mettersi in regola con il Gdpr tutte le aziende che hanno degli utenti in Europa, comprese le web company che non hanno una stabile organizzazione nella Ue. Tuttavia, ci sono alcuni aspetti che variano a seconda della legge e che riguardano le dimensioni dell’azienda, il tipo di dati raccolti, dove vengono conservati i dati e altri fattori.
Non tutte le aziende dovranno avere un Dpo, che sarà certamente d’obbligo in quelle di grandi dimensioni, però non è ancora chiaro quale sarà la dimensione d’azienda discriminante fra avere o no il Dpo.
La notifica dei data breach e le sanzioni
Il cuore del nuovo GDPR è la richiesta di notifica della perdita di dati. Negli Usa, si tratta di un obbligo in vigore già in diversi stati. Ma il nuovo regolamento Ue va di molto oltre, perché le imprese devono notificare il data breach entro 72 ore dalla scoperta. Ciò significa che le imprese hanno soltanto tre giorni di tempo per definire la portata della “falla” e per capire se dati sensibili sono andati persi e in quale misura.
Ad esempio, il data breach potrebbe essere circoscritto alla proprietà intellettuale, danneggiando così l’azienda stessa ma la materia non è coperta dal GDPR.
Dal che potrebbe nascere un paradosso, ovvero l’obbligo di comunicare un data breach che riguarda il GDPR soltanto come parte lesa. Oltre a notificare alle autorità Ue, le aziende che hanno subito un data breach dovranno comunicare anche con tutte le persone coinvolte e questa rappresenta un’altra grossa difficoltà per le aziende.
La mancata notifica del data breach nei tempi stabiliti implica il rischio di multa salatissima, fino a 20 milioni di euro o il 4% del fatturato globale dell’azienda indipendentemente dalla somma. Multe astronomiche secondo diversi rappresentanti aziendali, in particolare sull’altra sponda dell’Oceano.
Secondo un’indagine AvePoint condotta lo scorso anno dal Center for Information Policy Leadership, le sanzioni rappresentano la preoccupazione maggiore degli executives interpellati.
Cyberinsurance e valutazione delle falle
Ed è per questo che le aziende dovranno prendere molto seriamente in considerazione il problema dei dati che raccolgono e del modo in cui li proteggono, non solo monitorando ma anche cancellando i dati che non sono più necessari.
“Quello che consigliamo a tutti è stare attenti a che tipo di informazioni si richiedono, che si tratti davvero di informazioni necessarie e utili ai fini del business”, ha detto Mark Taylor, managing consultant della tedesca NTT Security. Il principio da seguire è semplice, se non hai bisogno di un’informazione non farne domanda e per ragioni di sicurezza non raccogliere informazioni inutili.
Per molte imprese ciò vorrà dire affidarsi a partner esterni, magari specializzati in raccolta e trattamento dati, per evitare spiacevoli sorprese. Fiorirà quindi il mercato dei cloud provider specializzati in security, in grado di conservare in modo sicuro i dati dei clienti di terzi.
Un altro mercato promettente è quello delle tecnologie per il controllo e la valutazione delle falle informatiche, in grado di definire la portata dei danni subiti da un attacco o una perdita di dati nei termini fissati di 72 ore.
Per le grandi telco, che devono gestire la privacy di milioni di clienti, è presumibile un sostanzioso aumento dei costi per la cosiddetta cyberinsurance. Prima del GDPR magari pagavano somme intorno ai 5 milioni per assicurare i dati, una somma che potrebbe lievitare di almeno 10 volte, fra i 50 e i 100 milioni di dollari, dopo l’entrata in vigore del nuovo regolamento.
Tanto più che in una prima fase è necessario valutare e verificare quali rischi coprire.
