La ricerca condotta da ESET e IDCI mostra come le aziende private, in particolare le PMI, sino in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza. Tra quelle che conoscono il GDPR, solo il 20% afferma di essere già conforme, mentre il 59% si sta adeguando e il 21% ammette di non essere a norma. Anche sul fronte pubblico, la situazione non sembra migliorare. Proprio con l’intento di fotografare la situazione esistente, il CSI Piemonte ha organizzato il workshop “Privacy: siamo pronti al nuovo regolamento europeo?”.
Il professor Francesco Pizzetti, aprendo la giornata di studio, ha voluto subito sgombrare il campo dagli equivoci: «In inglese si parla di “privacy”, ma è fuorviante. Il regolamento fa riferimento a dati riferibili a persone identificate o identificabili in possesso della Pubblica Amministrazione per la sua finalità istituzionale. Dati che devono essere trattati nei limiti delle funzioni dell’ente, il quale avrà anche l’obbligo di proteggere quei dati. E dunque non stiamo parlando di privacy, ma di un dovere d’ufficio, prima ancora che della tutela di un diritto del cittadino».
I CONSIGLI DEL GARANTE
Il GDPR avrà un impatto su enti e imprese, non solo dal punto di vista tecnologico, ma anche e soprattutto dal punto di vista organizzativo e legale. Cosa si deve fare, dunque, per arrivare pronti al 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione europea? Le prime linee guida arrivano dal Garante, che ha suggerito alle Pubbliche Amministrazioni tre priorità: la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer); l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate, e la notifica delle violazioni dei dati personali, i cosiddetti Data Breach.
Quest’ultimo punto appare particolarmente delicato: a oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda ne viene a conoscenza. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore.
Quella della sicurezza è solo una delle molteplici sfide che pone il regolamento europeo, ma è forse quella più critica. Lo scenario di partenza, infatti, non è particolarmente roseo. Il Rapporto Clusit 2017 indica il 2016 come l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e la tendenza non sembra migliorare. Inoltre, nel suo intervento, Andrea Ghirardini, dell’Osservatorio Nazionale informatica Forense, ha raccontato una situazione fortemente deficitaria in tema di cyber security in Italia. «Dalle indagini che conduco con le aziende che mi chiamano per consulenze emerge che la strada da fare è ancora molto lunga. Solo due aziende su 70 hanno un livello di sicurezza accettabile – spiega. Poi aggiunge –. Anzi, solo una; perché l’altra, pur avendo adottato molte precauzioni, alla fine ha candidamente ammesso di avere tutti i dati e la gestione della sicurezza su cloud. A tal proposito mi piace citare il meme: non c’è “Cloud”, è solo il computer di qualcun altro».
L’adeguamento, dunque, deve essere tecnologico, ma anche nell’approccio al problema e nella struttura organizzativa. A partire dalla nuova figura del DPO, che ha un ruolo dalle molte sfaccettature: deve infatti avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore in cui si trova ad operare. Si tratta di una figura nuova, ancora poco diffusa e a breve molto richiesta. Ecco perché il Dipartimento di Giurisprudenza ha attivato un corso di perfezionamento in diritto della protezione dati personali e per la formazione del data protection officer.
LE ALTRE NOVITÀ DEL GDPR
Il GDPR prevede alcune nuove istituzioni. Si parla ad esempio di privacy by design, in riferimento all’obbligo di adottare fin dall’inizio del processo produttivo (tanto di un software quanto di un prodotto) comportamenti in grado di assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati; inoltre, viene introdotto il principio della privacy by default, che impone di adottare strumenti e modalità di trattamento dei dati in grado di ridurre il rischio. Semplificando: se posso ridurre il numero di passaggi da un ufficio all’altro, da un server a un altro, devo farlo.
Si parla poi di pseudo-anonimizzazione, che prevede l’obbligo di tenere separato il dato dal suo identificativo, principio quasi ovvio, che pone però il problema di dotarsi di un sistema per abbinarli e ancora una volta si tratta di una questione organizzativa, più che tecnologica. Inoltre il regolamento introduce il principio di accountability, cioè l’obbligo, da parte delle PA e dei privati, non solo di rispettare le norme del Regolamento, ma anche di mettere in pratica quanto stabilito in fase di analisi dei rischi. Sarà il titolare del trattamento a dover dimostrare, in caso di controversie, di aver adottato tutte le precauzioni previste per ridurre al minimo i rischi. Enti pubblici e imprese saranno dunque maggiormente responsabilizzati, anche attraverso sanzioni piuttosto elevate: fino a 20 milioni di euro o al 4% del fatturato.
LIBERTÀ DEGLI STATI E PAESI EXTRA UE
Esistono dei campi d’azione in cui il regolamento cede il passo alla normativa nazionale, laddove manca un’armonia a livello sovranazionale. Ad esempio i concetti di “giornalismo” e “libertà di espressione” continueranno a variare da uno Stato membro all’altro, così come la gestione dei dati elaborati ai fini della sicurezza nazionale di uno Stato. Guardando nello specifico all’Italia, in ambito trasparenza, la nuova disciplina del FOIA sembrerebbe doversi conciliare con il Regolamento, ma non si dice come.
Per avere maggiore chiarezza si dovrà attendere l’entrata in vigore del GDPR: la successiva istituzione del Gruppo dei Garanti porterà i diversi Garanti nazionali a dialogare e cooperare per stabilire le linee guida da seguire per l’applicazione corretta delle prescrizioni del Regolamento.
Infine, un’importante novità riguarda i Paesi situati al di fuori dell’Ue, verso i quali è vietato il trasferimento dei dati, se non a determinate condizioni (consenso esplicito del diretto interessato o sussistenza di standard di sicurezza adeguati). Inoltre, anche le imprese straniere dovranno adeguare la propria privacy policy al Regolamento Europeo, se vorranno continuare a operare all’interno dell’Ue.
Discorso a parte invece per i rapporti tra Unione Europea e Stati Uniti, tra cui è entrato in vigore il Privacy Shield, un accordo che si propone di tutelare i diritti alla privacy di ogni persona residente in EU, i cui dati vengano conservati o trasferiti negli USA. In parallelo, l’accordo offre un quadro legislativo più chiaro alle aziende che si occupano della conservazione dei dati di cittadini europei negli Stati Uniti.
Fonte: lastampa.it