GDPR e trattamento dei dati: metti al sicuro la tua azienda

GDPR e trattamento dei dati: metti al sicuro la tua azienda

Questo è lo scenario: ci troviamo in Italia, in un futuro lontano, dove la tecnologia ha preso ormai il sopravvento e la quantità di dati a disposizione dalle grandi companies può far muovere l’economia a piacimento. Una novità è alle porte, una regolamentazione europea tratterà in modo unico ed univoco la protezione dei dati.

Ehi no, facciamo un passo indietro, torniamo ai giorni nostri e rileggiamo insieme: lo scenario futuristico non ci riguarda, ma la regolamentazione europea è davvero in arrivo!

Alcuni tra voi lettori diranno “beh, era anche ora che la trattazione di dati venisse regolamentata da istituzioni competenti”, e come darvi torto del resto? Ma altri tra voi, e ci rivolgiamo più precisamente a responsabili di B2B e B2C che presidiano attualmente il mondo online con il proprio marchio, venendo a conoscenza del fatto che tale regolamentazione sarà efficace dal 25 maggio 2018, guarderanno d’istinto il calendario e penseranno “non manca così tanto, forse è il caso di preparare la mia azienda al cambiamento per metterla al sicuro”.

Ma scendiamo maggiormente nel dettaglio, il regolamento di cui stiamo parlando ha un nome preciso, GDPR che è l’acronimo di General Data Protection Regulation ed è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea.

L’inserimento di una trattazione unica europea risultava, al tempo dell’approvazione e dell’entrata in vigore del GDPR nel maggio 2016, un punto di svolta unico ed obbligatorio, ricercato a fronte di un utilizzo spropositato di dati raccolti e archiviati molte volte senza una logica di utilizzo futuro. In un contesto dove i dati permettono lo sviluppo della maggior parte delle iniziative di advertising digitale, precisamente il 90%, ben capiamo come essi possono risultare, a fronte di uno sbagliato utilizzo, invasivi se non addirittura lesivi.

Nella fattispecie il GDPR andrà a toccare vari temi ed è fondamentale iniziare partendo dal sottolineare la portata territoriale, essendo esso un regolamento europeo, è direttamente applicabile negli stati membri. Inoltre, l’adeguatezza delle misure di sicurezza adottate potrà dover essere attestata dall’adesione a codici di condotta o a meccanismi di certificazione.

Il GDPR sottolinea come gli utenti abbiano diritto a sapere come sono raccolti i loro dati personali, come vengano utilizzati e per quali scopi, quali possono essere gli usi secondari e a quali parti terze possono essere comunicati. In questo senso, tutte le aziende avranno l’obbligo di aggiornare le proprie procedure per ottenere il consenso degli utenti, oltre al fatto che le stesse dovranno anche essere in grado di consentire agli individui di poter accedere ai propri dati personali in qualsiasi momento.

Le aziende dovranno poi dotarsi di una procedura per la gestione di un eventuale incidente informatico, un data breach, come furto o modifica di database di dati personali. Sotto questo aspetto, fondamentale sarebbe la notificazione al garante, notificazione possibile solo in caso di alta organizzazione e procedure già testate dall’azienda.

Quelli appena trattati sono soltanto alcuni degli obblighi introdotti dalla GDPR, altri aspetti più tecnici formano il corpo centrale del regolamento. Ma come evitare alla propria azienda la massima sanzione europea che, per una violazione del GDPR, è stabilita al 4% delle entrate aziendali?

Tecnicamente parliamo di protezione dei dati cloud, di crittografia dei dati di grandi dimensioni, di governance dell’accesso ai dati, di attenta gestione dei diritti di consenso e di protezione dei dati, di rilevazione e classificazione dei dati ottenuti dagli utenti, di privacy by default e privacy by design, di gestione delle chiavi di sicurezza e di altri aspetti tecnici che finirebbero per far venire un’emicrania ai non addetti ai lavori.

La domanda è quindi una sola, sono pronte le aziende italiane al GDPR? In questo senso rispondiamo con l’estratto di uno speech di Corrado Dati, Business Unit Manager IT Service Management di SB Italia, che dichiara: “Dai nostri dati emerge una forte criticità nella corretta gestione dei dati personali: le aziende devono lavorare ancora molto per assicurare la piena trasparenza e definire i flussi interni. Per noi l’approccio di fronte al GDPR deve essere globale: occorre che le aziende abbiano una chiara visione di insieme della normativa, in modo da assicurare il pieno rispetto delle regole e da poter gestire in modo organico ed efficiente l’intero flusso dei dati, dalla raccolta alla cancellazione. Ciò che risulta invece ben chiaro a tutti è l’entità gravosa di eventuali sanzioni”.