Protezione dei dati personali, sicurezza e nuove competenze da mettere in campo. Questi i temi affrontati ieri nel seminario Privacy: siamo pronti al nuovo regolamento europeo?, organizzato dal CSI Piemonte per approfondire con esperti del settore gli impatti che il nuovo regolamento avrà sulla vita degli enti pubblici e delle imprese dal punto di vista tecnologico, organizzativo e legale.

Siamo infatti a meno di 250 giorni dalla data in cui il regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, meglio noto come GDPR, diventerà operativo. Tutti ne parlano e la domanda che tutti si pongono è: a che punto siamo?

Da alcuni report di aprile 2017, come la ricerca targata ESET e IDC, emerge che le aziende private, in particolare le PMI, sono in forte ritardo sul GDPR, con quasi il 78% dei responsabili IT delle aziende coinvolte che non ha ancora compreso chiaramente l’impatto della nuova normativa, oppure non ne è a conoscenza. Tra quelle che conoscono il GDPR il 20% afferma di essere già conforme, il 59% si sta adeguando e il 21% dichiara di non essere a norma.

E sul fronte pubblico quale è la situazione? Quante sono le pubbliche amministrazioni che ad esempio hanno previsto e iniziato ad attuare un piano di adeguamento? Quante hanno predisposto i necessari interventi formativi e divulgativi all’interno della propria organizzazione? L’impressione è che si stia procedendo, ma ancora a rilento.

Quindi la domanda forse più corretta da porsi è: cosa è necessario fare per essere pronti per il 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i Paesi dell’Unione Europea? Durante il seminario sono emerse tre priorità operative:

gdpr

  • Designazione in tempi stretti del Responsabile della protezione dei dati (DPO)
  • Istituzione del registro delle attività di trattamento
  • Notifica delle violazioni dei dati personali (data breach)

La figura del DPO, già operativa in alcuni paesi dell’UE, ha un ruolo fondamentale visto che deve raccogliere in sé competenze normative, tecniche, comunicative e di conoscenza profonda dell’organizzazione. È una figura nuova che dovrà essere formata e responsabilizzata. Dovrebbe essere preferibilmente interna all’Ente, dotata di autonomia e di risorse, ma probabilmente è possibile che enti pubblici di piccole dimensioni dovranno aggregarsi e necessariamente ricercare questa figura all’esterno della loro organizzazione.

Il registro dei trattamenti costituisce il punto di partenza per la predisposizione dell’intero impianto documentale; raccoglierà infatti i trattamenti effettuati e le procedure di sicurezza adottate.

Il processo di data breach richiede un’attenta analisi e conoscenza delle informazioni gestite, ma soprattutto, ove non già presenti, investimenti tecnologici nelle modalità di monitoraggio, securizzazione e compartimentazione dei danni che ne possono derivare.

Durante i lavori è emerso infine che il tema della privacy è strettamente collegato a quello della sicurezza informatica. In Italia infatti, più che in altri Paesi, le PA e le imprese sono esposte a questo rischio per la loro struttura e per i ritardi culturali ed infrastrutturali.