Il GDPR (General Data Protection Regulation) è un acronimo che ormai fa parte del linguaggio comune di chi, a vario titolo, ha a che fare con le aziende, con la privacy e con i dati sensibili. La sua entrata in vigore definitiva in Italia, il prossimo 25 maggio, è una data segnata in rosso sul calendario di imprenditori e liberi professionisti. E non senza qualche preoccupazione.

Ma come affrontare questa piccola grande rivoluzione nel modo in cui vengono trattati i dati personali ad ogni livello? Achab, azienda specializzata nella distribuzione di soluzioni software a valore, ha organizzato ieri l’evento GDPR: ultima chiamata proprio per rispondere alle tante domande ancora senza risposta e soprattutto offrire una serie di spunti pratici sui passi più urgenti da compiere, a poco più di 60 giorni dall’entrata in vigore del regolamento europeo.

In particolare, chi si occupa di servizi IT sa quanto la sua figura sarà fondamentale per le aziende clienti. Il GDPR, infatti, prevede regole e sanzioni molto precise in materia di trattamento delle informazioni e dei dati di privati e imprese. Regole che impattano direttamente sui rapporti cliente/fornitore e le reciproche responsabilità di fronte alla legge.

L’evento di ieri, grazie alla partecipazione attiva di un’esperta di diritto informatico come l’avvocato Chiara Magalini e di un esperto in sicurezza di fama nazionale come Luca Bechelli, che fa parte del comitato direttivo del Clusit, ha dimostrato in modo chiaro e soprattutto concreto cosa serve fare subito per evitare le sanzioni, affrontare le questioni legate al regolamento europeo e sensibilizzare i clienti.

“Non si tratta di una legge italiana, quindi non possiamo sperare in nessun tipo di rinvio”, ricorda la Magalini. Nessuna deroga temporale, dunque, all’orizzonte, e la data di entrata in vigore del regolamento è davvero dietro l’angolo. Senza scappatoie di nessun genere. “Tutto ciò che nell’ordinamento italiano oggi va contro il regolamento europeo dovrà essere disapplicato”.

gdpr

Le novità introdotte dal Gdpr sono diverse e una delle più importanti per chi si occupa si fornire servizi IT è la creazione della figura del Data Protection Office (Dpo): “Molto probabilmente le aziende vi chiederanno di essere il loro Dpo perché sono necessarie le vostre competenze, ma a queste dovrete aggiungere competenze legali non di poco conto. Dal punto di vista operativo sarà necessario provvedere alla mappatura dei dati e dei trattamenti per arrivare a creare un vero e proprio registro. Dovrete procedere con un’analisi dei documenti e delle procedure attive per organizzarne la revisione, aggiornare e implementare le misure tecniche IT e anche quelle organizzative senza dimenticare le procedure di gestione dei possibili data breach. Dovrete, inoltre, valutare insieme con il cliente la necessità della creazione del Dpo e, soprattutto, dovrete fare tanta formazione a chi sarà il titolare del trattamento dei dati all’interno dell’azienda”.

L’avvocato Magalini è scesa ancora più nel dettaglio delle cose da fare. “Tecnicamente dovrete procedere ad assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento dei dati, dovrete assicurare un ripristino tempestivo della disponibilità e dell’accesso ai dati in caso di data breach e dovrete testare, verificare e valutare regolarmente l’efficacia delle misure concordate con il cliente”.

Nel corso dell’evento è anche stata presentata anche la nuova edizione 2018 del Rapporto Clusit sulla Sicurezza ICT in Italia. “Abbiamo registrato una media di 94 attacchi informatici gravi al mese, +7% rispetto all’anno precedente”, spiega Bechelli. “Di questi, il 14% aveva come finalità il cybercrime. Ma è soprattutto dagli attacchi di ordine comune che ci dobbiamo guardare perché sono cresciuti del 94%, un’enormità”.

Con l’entrata in vigore del GDPR la sicurezza informatica riveste un ruolo di rilievo assoluto. “Oggi manca ancora un approccio orientato ai rischi: pensiamo alle tecnologie da implementare ma non ai rischi informatici che le nostre aziende corrono. Non c’è più tempo, però, per proseguire in questa direzione: abbiamo 67 giorni per iniziare a correre. Perché dopo il 25 maggio, quando accadrà un attacco informatico nell’azienda di cui vi occupate, sarà un problema anche dal punto di vista normativo, non solo pratico. Il regolamento europeo ci impone un modello di gestione continuo, che non possiamo più abbandonare una volta creato. L’approccio giusto a ciò che sta per accadere è considerare il regolamento stesso un modello di gestione, solo in questo modo potrete trasformare un problema in un’opportunità di lavoro”, ha concluso Bechelli.