GDPR (General Data Protection Regulation) è un acronimo che ormai fa parte del linguaggio comune di chi, a vario titolo, ha a che fare con le aziende, con la privacy e con i dati sensibili. La sua entrata in vigore definitiva in Italia, il prossimo 25 maggio, è una data segnata in rosso sul calendario di imprenditori e liberi professionisti. E non senza qualche preoccupazione.
Ma come affrontare questa piccola grande rivoluzione nel modo in cui vengono trattati i dati personali ad ogni livello?
Il punto è stato fatto nel corso di un evento organizzato da Achab, "GDPR: ultima chiamata" proprio per rispondere alle tante domande ancora senza risposta e soprattutto offrire una serie di spunti pratici sui passi più urgenti da compiere, a poco più di 60 giorni dall'entrata in vigore del regolamento europeo.
In particolare, chi si occupa di servizi IT sa quanto la sua figura sarà fondamentale per le aziende clienti. Il GDPR, infatti, prevede regole e sanzioni molto precise in materia di trattamento delle informazioni e dei dati di privati e imprese. Regole che impattano direttamente sui rapporti cliente/fornitore e le reciproche responsabilità di fronte alla legge.
"Non si tratta di una legge italiana, quindi non possiamo sperare in nessun tipo di rinvio" ha ricordato l'avvocato Chiara Magalini. Nessuna deroga temporale, dunque, all'orizzonte, e la data di entrata in vigore del regolamento è davvero dietro l'angolo. Senza scappatoie di nessun genere: "Tutto ciò che nell'ordinamento italiano oggi va contro il regolamento europeo dovrà essere disapplicato".
Le novità introdotte dal Gdpr sono diverse, una delle più importanti per chi si occupa si fornire servizi IT è la creazione della figura del Data Protection Office (Dpo): "Molto probabilmente le aziende vi chiederanno di essere il loro Dpo perché sono necessarie le vostre competenze tecniche - prosegue l'avvocato Magalini -, ma a queste dovrete aggiungere competenze legali non di poco conto. Dal punto di vista operativo, sarà necessario provvedere alla mappatura dei dati e dei trattamenti per arrivare a creare un vero e proprio registro. Dovrete procedere con un'analisi dei documenti e delle procedure attive per organizzarne la revisione, aggiornare e implementare le misure tecniche IT e anche quelle organizzative senza dimenticare le procedure di gestione dei possibili data breach. Dovrete, inoltre, valutare insieme con il cliente la necessità della creazione del Dpo e, soprattutto, dovrete fare tanta formazione a chi sarà il titolare del trattamento dei dati all'interno dell'azienda".
Nel corso della giornata è anche stato presentato in sintesi un report di assoluto valore e prestigio come l'attesa nuova edizione 2018 del Rapporto Clusit sulla Sicurezza ICT in Italia, pubblicato il 14 marzo scorso. Lo ha presentato Luca Bechelli, information & cyber security advisor di Partners4Innovation e membro del comitato direttivo del Clusit.
"Abbiamo registrato una media di 94 attacchi informatici gravi al mese, +7% rispetto all'anno precedente - ha spiegato Bechelli -. Di questi, il 14% aveva come finalità il cybercrime. Ma è soprattutto dagli attacchi di ordine comune che ci dobbiamo guardare perché sono cresciuti del 94%, un'enormità". Con l'entrata in vigore del Gdpr, la sicurezza informatica riveste un ruolo di rilievo assoluto: Oggi manca ancora un approccio orientato ai rischi: pensiamo alle tecnologie da implementare ma non ai rischi informatici che le nostre aziende corrono. Non c'è più tempo, però, per proseguire in questa direzione: abbiamo 67 giorni per iniziare a correre. Perché dopo il 25 maggio, quando accadrà un attacco informatico nell'azienda di cui vi occupate, sarà un problema anche dal punto di vista normativo, non solo pratico".