Ormai, da mesi, chiunque ne parla e propone le soluzioni più disparate per affrontare il grande tema della conformità alla nuova normativa sulla Privacy (GDPR).

In effetti, con la nuova normativa, si sta già verificando quella che in molti chiamano una rivoluzione, uno storico spartiacque per le norme che tutelano il diritto ad esercitare un controllo sulle informazioni che riguardano persone fisiche e che impegnerà tutte le aziende dell’UE (o che fanno affari con aziende su territorio UE) a ripensare e riprogettare i propri processi interni di gestione e monitoraggio dei dati personali che i diversi sistemi aziendali raccolgono ed elaborano, anche per sviluppare il proprio business.

Ma partiamo dall’ABC….

Il GDPR (o General Data Protection Regulation – Regolamento UE 2016/679) è il nuovo Regolamento con il quale la Commissione Europea intende rafforzare e rendere omogenea in tutti gli stati membri la norma sulla protezione dei dati personali di cittadini dell’Unione e si rifà al diritto fondamentale di protezione della vita privata e dei dati di carattere personale, riformulando di fatto la definizione di dato personale inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (dati anagrafici, sanitari, bancari, religiosi, e per la prima volta genetici, mentali, culturali, economici o sociali).

Il suo obiettivo è poi quello di adeguare tali norme al nuovo contesto economico e sociale, per creare un clima di fiducia e consentire lo sviluppo dell’economia digitale nel mercato europeo negli anni a venire. Con la sua entrata in vigore il GDPR diventa, infatti, uno strumento di competizione economica rilevante ed utile ai soggetti operanti nel mercato europeo che d’ora in poi possono disporre di un set di regole condivise.

In questo senso il regolamento GDPR trasforma la protezione dei dati personali da mero adempimento giuridico in strategia organizzativa da gestire con nuovi modelli organizzativi.

Sì, perché è con l’evoluzione tecnologica che tutto cambia!

I dati acquistano valore in sé e vengono tutelati per ciò che sono, a prescindere, si potrebbe dire, dalle persone cui si riferiscono.

Il dato personale diventa la materia prima della nuova economia basata sulla conoscenza e sull’elaborazione delle informazioni.

Tutti trattano dati personali, di clienti, di prospect, di dipendenti o di fornitori.

I dati sono il “petrolio” dell’era digitale, l’elemento che va elaborato per generare i fatturati delle aziende, creare prodotti innovativi, formulare offerte mirate ai consumatori, controllare, profilare e analizzare l’efficacia di un servizio.

I dati sono infatti ormai considerati uno dei motori per lo sviluppo dell’economia e una fonte di nuovi business ad altissimo valore e sono destinati a diventare sempre di più la materia prima che sarà alla base dei servizi e dei prodotti innovativi e solo creando le condizioni per un uso uniforme dei dati, senza barriere giuridiche e differenze normative tra gli stati europei, si potrà definire una nuova economia basata sull’uso esteso di questi.

Tutto ciò comporta inevitabilmente per le organizzazioni che trattano dati di persone fisiche residenti in UE di rispondere in prima persona dell’adeguamento al Regolamento entro il prossimo 25 maggio 2018.

Purtroppo appare chiaro che il GDPR non prevede linee specifiche sulla “protezione dei dati”, né uno standard o un approccio tecnologico particolare per raggiungere la compliance: c’è per questo ancora molta incertezza, non solo sulla procedura migliore da adottare ma anche su come iniziare.

Ciò che è chiarissimo invece è che ci saranno nuove regole e nuovi obblighi per le aziende e nuovi diritti per i cittadini e soprattutto che ci saranno multe amministrative salatissime, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuale se superiore, per le imprese che non riescono a dimostrare di aver adeguato la propria organizzazione alla normativa.

Oltre a questo non bisogna dimenticare che ci possono essere altre conseguenze altrettanto gravi, come le lamentele dei singoli, le richieste di rimborso per danni, la sospensione dell’elaborazione dei dati e un danno significativo alla reputazione dell’azienda.

In base alla dimensione, al settore e ad altre caratteristiche, le società devono formulare un programma di conformità specifico per la propria azienda. Per la maggior parte delle aziende, implementare i requisiti del GDPR significa disporre di risorse organizzative notevoli, cambiare le procedure di elaborazione dei dati e investire in processi e tecnologie di sicurezza: non esiste una tecnologia o un processo in grado di garantire la conformità nelle tre aree chiave oggetto del regolamento.

Per questo motivo gli esperiti consigliano di considerare la conformità al GDPR come un insieme di attività e non come una tecnologia che possa risolvere il problema come se fosse una bacchetta magica.

Tenendo presente questo consiglio, le aziende devono immediatamente avviare il processo tenendo conto delle seguenti tre aree chiave:

LE PAROLE CHIAVE DEL GDPR

1.Privacy by design deve essere uno dei principi guida fondamentali del piano d’azione in base al quale la privacy dei dati diventerà sin dall’inizio un aspetto fondamentale da gestire, diremmo con approccio olistico. Per questo motivo, processi e tecnologie diventano prioritari nella fase di progettazione di tecnologie informatiche e sistemi.

2.Data Breach è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.
La novità del Regolamento è che in caso di violazione devono essere obbligatoriamente comunicate alle autorità di vigilanza e agli individui coinvolti entro 72 ore dal momento in cui è stata identificata. I responsabili della tutela dei dati sono tenuti a documentare le violazioni di tali dati per consentire alle autorità di vigilanza di verificare la conformità al requisito introdotto dal GDPR.

3.Data Protection Impact Assessment (DPIA) è la descrizione sistematica delle modalità attraverso le quali l’azienda verifica che sistemi, applicazioni e, in generale, tutte le tecnologie informatiche che raccolgono e processano i dati, siano realmente privacy proof.

4.Data Protection Officer  (DPO)
Per l’organizzazione garantire la conformità al GDPR significa coinvolgere numerosi attori con esperienze consolidate in ambito operativo, legale e tecnico. Il GDPR identifica per la prima volta una nuova figura professionale, pensata per essere a capo del “progetto Privacy”: il Data Protection Officer (DPO).
Grazie al suo ruolo trasversale, il DPO, assunto o con un contratto di servizio, deve lavorare a stretto contatto con tutte le parti interessate, contando sul supporto totale da parte della direzione per avere le risorse necessarie e per essere certo che la conformità al regolamento GDPR abbia la priorità su altre attività.

Il DPO è:
-uno specialista altamente qualificato che supporta l’applicazione e facilita il rispetto degli obblighi della nuova normativa;
-un manager con competenze giuridiche, informatiche, di risk management e di analisi dei processi;
-la sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all’interno dell’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

 Come la vediamo noi:

Il percorso verso la conformità al GDPR è disseminato di sfide organizzative, culturali e finanziarie, oltre alla sfida più evidente di garantire che tale la conformità sia in sinergia con gli obiettivi dell’azienda.

Pensiamo che l’opportunità stia nello sfruttare le modifiche richieste per aumentare il valore complessivo dell’azienda e del suo brand, utilizzando al meglio i dati certamente senza violare la legge, ma implementando sistemi di sicurezza all’avanguardia e portando in azienda una nuova cultura di responsabilità, individuale e collettiva, che affronti tutto questo con un approccio lungimirante, che si evolva nel tempo e soprattutto che sia in grado di preparare l’organizzazione a difendersi dalle minacce che inevitabilmente nel prossimo futuro aumenteranno.