Intervista a Giuliano Merlo sulla General Data Protection Regulation
Prima domanda: Cos’è il GDPR e cosa devono fare le aziende?
“Il GDPR è il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation), in vigore dal 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei.
Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 dopo quattro anni di dibattiti e trattative. Le disposizioni rafforzano la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.
I regolamenti sono stati armonizzati con una serie di leggi che si applicano in tutti i 28 Stati membri. Le violazioni del GDPR comportano pene severe, con multe fino a 20 milioni di euro o del 4% del fatturato globale, se superiore.”
Aspetta… a parte le multe infitte alle aziende in caso di non conformità, ti sei espresso in maniera troppo difficile. Riproviamo in maniera più semplice: di cosa si occupa il GDPR?
“Il GDPR si pone come obiettivo quello di regolamentare come le aziende elaborano, memorizzano e distruggono i dati personali degli utenti. Il problema non è semplicemente essere in possesso di dati, ma saperli gestire nel modo corretto e poterlo dimostrare con prove tangibili.”
Questo vuol dire che noi, trattando dati personali di dipendenti e di clienti, saremo impattati. In cosa?
“Il GDPR mette le aziende di fronte alla necessità di rispettare nuove norme per la protezione e la sicurezza di informazioni e privacy, ma anche sulla produzione e lo sviluppo di soluzioni e applicazioni IT che le aziende dovranno rispettare.
Mi spiego meglio: la protezione dei dati presenti sui nostri sistemi diventa molto importante per evitare che dati vengano acceduti da persone che non ne hanno titolo o, peggio, che vengano trafugati dai sistemi e pubblicati all’esterno. Per tale motivo dovremmo proteggere di più i nostri computer, i laptop, gli smartphone e i tablet, gli accessi alle nostre reti mediante opportune tecniche di protezione e di monitoraggio.
Anche il ciclo di rilascio del software dovrà essere rivisto per garantire che il software rilasciato sia “sicuro e senza bachi di sicurezza (questo principio si chiama “security by design and by default”).”
E qualora qualche dato dovesse essere trafugato? Cosa deve fare la azienda?
“I responsabili dei dati devono informare entro 72 ore le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio.
Abbiamo già una procedura per la segnalazione di violazioni e un piano interno per le risposte. Vanno rese più efficaci mediante condivisione e training apposito”
Prima hai citato i “responsabili dei dati”. Cosa significa?
“Il nuovo Regolamento Privacy obbliga le aziende a cambiare la propria organizzazione, i processi, la forma mentis. Prevede non solo implementazioni tecniche, ma modifiche organizzative: l’utilizzo di un approccio proattivo e predittivo.
A tal fine, l’art.37 del Regolamento Europeo Privacy introduce, per la prima volta, l’obbligo per le aziende di nominare un Data Protection Officer (DPO), in possesso di “un livello avanzato di conoscenza delle normative e della loro applicazione”.”
Chi è il DPO? Che compiti ha?
“Il DPO è il Data Protection Officer, ossia il responsabile della protezione dei dati all’interno di ogni ente e/o impresa. La sua designazione è prevista dal Regolamento.
Il DPO avrà il compito di informare e consigliare il titolare e di verificare l’applicazione delle normative di data privacy.
È evidente che il Data Protection Officer non può essere un consulente “una tantum” poiché deve ricoprire un ruolo stabile all’interno della struttura organizzativa al fine di prevenire le innumerevoli criticità.”
E l’utilizzo di dati in cloud?
“Particolare attenzione deve essere posta a quei dati che vengono gestiti da servizi cloud, su infrastrutture esterne all’organizzazione.
I cloud provider devono infatti garantire che i dati saranno trattati in conformità alle specifiche richieste dal GDPR.
Per questo motivo, molti fornitori di soluzioni cloud europei hanno lanciato l’iniziativa CISPE, volta a garantire che tutti gli aderenti forniscano soluzioni in linea con gli obblighi imposti dal GDPR.”
Ultima domanda: solo costi e complicazioni oppure anche opportunità per lavorare in una economia sempre più digitalizzata?
“Le implicazioni del GDPR possono sembrare schiaccianti per le imprese, ma il Regolamento dovrebbe avere un impatto positivo sul pubblico e sulle aziende responsabili della gestione dei dati.
L’economia digitale è basata principalmente sulla raccolta e lo scambio di dati, tra i quali ci sono molti dati personali e sensibili. La crescita dell’economia digitale richiede la fiducia del pubblico nella protezione di queste informazioni.
Con le opportune policy, pianificazione e formazione del personale, le aziende possono beneficiare di un maggior credito se gli utenti hanno fiducia che i loro dati sono protetti.”