Il GDPR è imminente: a che punto siamo?
Il 25 maggio entrerà in vigore il nuovo Regolamento per la Gestione dei Dati Personali, noto sotto l’acronimo di GDPR. A meno di un mese dall’entrata in vigore, il quadro che emerge tra le imprese italiane è nettamente diviso. Da un lato le imprese con più di 250 dipendenti si sono nel complesso mosse per tempo, con il 58% che ha già predisposto un budget dedicato. Dall’altro, le PMI e le Pubbliche Amministrazioni faticano a capire le implicazioni della nuova legge e soprattutto come muoversi per essere a norma.
Il GDPR è una legge europea e per questa ragione non sarà soggetta a proroghe. Se non ci si è ancora mossi il tempo rimasto a disposizione è davvero poco. Ciò nonostante non occorre farsi prendere dalla fretta e cercare di presentare un progetto superficiale entro la scadenza: un’analisi non accurata o un sistema di controllo del dato impreciso porterà comunque alla sanzione da parte del Garante.
Per attrezzarsi davvero e non temere di venir puniti durante i controlli o in occasione di una perdita dei dati, ci sono alcuni passaggi necessari che ogni azienda, indipendentemente dalle sue dimensioni, è tenuta a compiere.
1- con la GDPR il dato non sarà più come prima
Se si ritiene che il GDPR sia una sorta di aggiornamento dell’attuale normativa sulla privacy e che ai fini pratici cambierà poco o nulla è bene ricredersi al più presto.
L’intento della nuova legge è quello di porre fine al caos che fino ad ora ha regolato l’uso (e l’abuso) dei dati raccolti. Del resto il GDPR è il risultato di una consapevolezza a livello politico e sociale sull’importanza che i dati hanno nelle vite di tutti i cittadini. Oggi esiste un florido mercato illegale di banche dati, nutrito soprattutto dalla poca attenzione da parte dei soggetti che detengono dati sensibili, a cominciare dalle imprese.
Per cominciare ad entrare nell’ottica giusta per essere compliance è necessario innanzitutto ripensare del tutto al rapporto che ci lega a ogni dato che raccogliamo. L’attenzione dovrà essere rivolta su due punti in particolare.
-
Pertinenza del dato raccolto rispetto allo scopo
Con il GDPR non sarà possibile chiedere informazioni che non siano strettamente necessarie al loro scopo dichiarato. Esistono inoltre tipologie di dati particolarmente sensibili i quali non potranno essere raccolti e trattati se non senza l’esplicito consenso da parte del diretto interessato.
Raccogliere i dati in maniera approssimativa dal 25 maggio potrebbe costare molto caro, fino a 20 milioni di euro di multa o il 4% del fatturato globale annuo, se l’importo di quest’ultimo è superiore ai 20 milioni di euro. -
Capacità di proteggere i dati raccolti come garanzia per i loro proprietari
Con il GDPR ogni volta che qualcuno ci fornisce un suo dato è necessario considerarlo come se ci stesse affidando in pegno un suo bene. Non conoscere che tipo di percorso il dato segue nella sua elaborazione, o non predisporre misure di sicurezza adeguate è un atteggiamento che la legge non considererà più accettabile. In caso di perdita dei dati non solo l’azienda sarà costretta a denunciare il fatto alle autorità entro 72 ore dal fatto, ma dovrà essere in grado di dimostrare di aver messo a punto misure di protezione adeguate per non rischiare di venire sanzionata.
2-privacy by design, privacy by design, DPO…saper parlare la lingua del GDPR
Privacy by design
Il concetto di privacy by design si può sintetizzare in questi tre punti.
- prevenire prima che curare. Pensare agli strumenti per tutelare i dati già durante la fase di progetto
- trasparenza nei confronti di chi concede i suoi dati all’interno della propria struttura aziendale.
- sicurezza adeguata in tutti i passaggi che coinvolgono il dato
Privacy by default
La privacy by default consiste nel considerare la tutela della privacy come lo standard che regola ogni rapporto tra l’azienda, i dati raccolti e i loro proprietari. A partire dalla raccolta infatti la normativa si aspetta che ci sia un consenso esplicito e informato da parte di chi fornisce il dato.
La privacy by default d’altra parte interviene ancora più a monte, prima che il dato venga effettivamente raccolto. Ad ogni nuova azione o progetto che prevede la raccolta di dati, da una campagna marketing a un career day, il GDPR richiede che nella strategia venga inclusa anche una valutazione di impatto privacy. Si tratta di un’analisi utile a prevenire i possibili rischi nel trattamento di certi dati e le misure adeguate che l’azienda dovrà mettere in campo per garantire sicurezza e riservatezza dei dati raccolti.
Data Protection Officer – DPO
Il DPO è una figura chiave della nuova normativa. Spetterà infatti a lui coordinare le azioni volte a rendere a norma l’azienda, a vigilare su una corretto trattamento dei dati al suo interno e fungere da ponte tra l’azienda e il Garante.
Al momento molti si stanno limitando a chiedersi, a seguito di una lettura superficiale della normativa, se il DPO sia o meno obbligatorio per la loro attività. Si tratta di un modo di affrontare la tematica del tutto sbagliato.
Il DPO infatti potrà anche non essere sempre obbligatorio, ma le sue funzioni sì. Qualora si decidesse di non nominarne uno, significa che a livello interno occorre comunque avere un’adeguata conoscenza delle mansioni che dovranno essere gestite internamente al suo posto.
3. Definire la roadmap per la compliance
Una volta che si hanno le idee chiare sulle linee guida e sui concetti chiave del GDPR, e non prima, si comincia a lavorare sul piano per essere a norma. In questo caso ogni azienda ha la sua situazione specifica, tuttavia ci sono alcuni punti in comune che occorre prendere in considerazione.
- il GDPR richiede un piano valido nel lungo periodo. Gli adempimenti richiesti dalla legge andranno avanti ben oltre la data del 25 maggio.
- la normativa interessa tutti i settori. Dal marketing al reparto produzione, non c’è figura aziendale che possano definirsi del tutto esclusa. Il concetto di privacy by default, in particolare, richiederà l’abbandono di diversi comportamenti sbagliati largamente diffusi all’interno delle aziende. Inviare database di dati tramite mail aziendale senza che ci sia traccia o, peggio, usare una mail personale, scaricare dati e modificarli/conservarli in storage al di fuori del perimetro di sicurezza…Sono solo alcuni esempi di cattive abitudini tipiche in un’attività da far superare all’interno della propria azienda.
Per poter stilare un piano adeguato è inoltre necessaria un’accurata analisi interna.
- Come vengono raccolti i dati?
- Le banche dati che flussi seguono a livello interno?
- I propri software e strumenti di raccolta e conservazione dispongono di sistemi di tracciamento e difesa adeguati?
Queste sono solo alcune delle domande che occorre porsi in sede di analisi.
Per chi è interessato, o semplicemente curioso, è disponibile un breve questionario di autovalutazione a destra di questa pagina, utile ad avere una prima idea di quanto si è vicini (o lontani) ai requisiti richiesti dal GDPR.
4. Scegliere strumenti e partner giusti.
Terminata la strategia si passa alla parte operativa. Data la natura trasversale del GDPR è difficile pensare di poter gestire ogni aspetto della normativa in completa autonomia. Sono due gli aspetti in particolare su cui è necessario valutare un supporto qualificato.
-
Legale
Per verificare che i dati siano raccolti a norma di legge, che i nuovi documenti richiesti siano redatti in maniera corretta e conservati in maniera ordinata e sicura. Un altro aspetto da valutare, soprattutto in realtà aziendali strutturate, è che i ruoli definiti all’interno della strategia GDPR siano chiari, seguano un flusso logico corretto e che le figure coinvolte siano consapevoli delle implicazioni legali della loro attività in ambito GDPR.
-
Informatico
Oggi la quasi totalità dei dati vengono raccolti, trattati e scambiati attraverso strumenti IT, dalla semplice mail aziendale fino a server, on premises e in cloud, utilizzati per ospitare enormi mole di dati. Ne consegue che la gran parte dei rischi relativi ai dati passano per i sistemi informatici della propria azienda. Diventa quindi fondamentale valutare ogni aspetto dei propri sistemi IT.
Valutare se i software che si utilizzano abbiano predisposto aggiornamenti adeguati per il GDPR, verificare se si dispone di un sistema di difesa da attacchi informatici esterni adeguato, garantire un sistema di tracciamento degli accessi e delle attività all’interno di ogni applicazione che contiene dati sensibili…Questi e molti altri sono gli aspetti da dover valutare per essere sicuri che la propria architettura informatica sia a norma.
In qualità di consulenti ICT, siamo consapevoli dell’importanza del nostro ruolo nei confronti dei nostri clienti. Per aiutarle a organizzarsi in vista del GDPR ci siamo mossi su più fronti.
Dal punto di vista strutturale abbiamo quindi organizzato numerose sessioni di assessment per aiutarle a comprendere quali sono i punti critici da sistemare per essere compliance.
Per quanto riguarda i software da noi rivenduti e seguiti abbiamo verificato che siano stati previsti dallo sviluppatore gli aggiornamenti necessari a rendere le loro soluzioni compliance. In particolar modo per le soluzioni gestionali TeamSystem, ACG e Alyante, sono stati due i punti d’interesse.
- aggiornamento strutturale del gestionale con nuova modalità di accesso
- registro dei log criptato per tracciare accessi e attività all’interno dell’applicazione.
Sotto il profilo legale, invece, abbiamo pensato con TeamSystem a una soluzione di supporto della figura incaricata di gestire al parte amministrativa della normativa, Agyo Privacy.

5. il 25 maggio non è semplicemente una scadenza normativa, ma il primo passo di un nuovo corso.
Una volta messa a punto la strategia per il GDPR sarebbe un peccato vanificare gli sforzi fatti a causa della convinzione che, passato il 25 maggio, il lavoro sia concluso. Una buona strategia per la compliance se non seguita da una buona serie di comportamenti all’interno significa solo rimandare il rischio di pesanti sanzioni da parte del Garante.
Restare aggiornati, sia a livello di documentazione da presentare (lavoro per cui ci si può avvalere di soluzioni come Agyo Privacy), sia a livello di tematica, è fondamentale. Il GDPR è una normativa pensata per regolare un fenomeno dinamico e fortemente mutevole. Con l’evoluzione tecnologica i modi in cui vengono generati e conservati i dati cambiano di continuo.
L’Internet delle Cose consentirà di raccogliere dati una miriade di oggetti che verranno connessi alla rete quali frigoriferi, vestiario. Nei prossimi anni la mole di dati raccolti aumenterà in maniera esponenziale. Al contempo, il loro valore sul mercato è destinato a crescere. Contestualmente a questi fenomeni aumentano gli attacchi informatici volti a sottrarre dati sensibili. In questo scenario il GDPR è stato pensato per mettere aziende e altri soggetti titolari di dati di terzi di fronte alle loro responsabilità.
D’altra parte, la consapevolezza sull’importanza del dato è sempre più diffusa. Partner commerciali, talenti e clienti attuali e potenziali saranno sempre più interessati a come verranno gestiti i loro dati. Mostrarsi preparati nella gestione dei dati può portare dunque a un vantaggio competitivo notevole.