Aziende a rilento sulla privacy Ue
Entro il maggio 2018 devono essere adottate le norme del regolamento Gdpr che impone obblighi più str ingenti
pUna corsa contro il tempo per adeguare sistemi e procedure alle nuove regole imposte dal Regolamento europeo sulla protezione dei dati personali, il General data protection regulation (Gdpr), che entrerà in vigore nel maggio 2018 negli Stati Ue. «Mancano meno di 18 mesi e le nuove norme creano alcuni dei presupposti necessari per disegnare un quadro di riferimento che deve essere compreso e attuato - premette Gabriele Faggioli, responsabile scientifico dell’Osservatorio information security e privacy -. Le aziende dovranno dotarsi di adeguati modelli di governance e soluzioni per rispettare i nuovi obblighi».
Se i princìpi cardine delle norme in materia vengono modifi- cati solo marginalmente, nell’era del Gdpr per le imprese e le Pa arrivano nuovi adempimenti e metodologie che richiedono competenze multidisciplinari. Si dovrà, per esempio, effettuare una valutazione dei rischi dei trattamenti dei dati e nei casi previsti procedere con una valutazione di impatto. Le realtà con oltre 250 dipendenti hanno l’obbligo del registro dei trattamenti, il censimento delle banche dati con i dati personali e il documento probatorio con cui dimostrare di aver adempiuto al regolamento. In caso di violazione, attacco e perdita delle informazioni il fatto dovrà essere segnalato all’autorità di controllo e nei casi più gravi anche ai diretti interessati. Per alcuni tipi di aziende e ammini- strazioni sarà obbligatoria, tra l’altro, l’adozione della figura del responsabile della protezione dei dati quando si verifica il trattamento su larga scala di particolari categorie di dati personali o informazioni come, per esempio, quelle relative a condanne penali e reati. Con il nuovo regolamento il titolare del trattamento non ha solo l’obbligo di mettere in atto e aggiornare le misure tecniche e normative, ma deve, in base all’articolo 24, essere in grado di comprovarlo. Da qui la necessità di utilizzare un sistema di gestione per la protezione dei dati, con cui monitorare i singoli adempimenti, documentare le scelte fatte e la verifica della loro applicazione da parte di soggetti interni ed esterni. 7 Le norme del General data protection regulation (Gdpr) entreranno in vigore nel maggio 2018 e per adeguarsi serve un approccio multidisciplinare. Tra le novità la valutazione dei rischi dei trattamenti e, quando previsto, una valutazione di impatto, l’obbligo di adottare un livello di sicurezza adeguato al rischio, l’obbligo di segnalare le violazioni dei dati alla Autorità di controllo e, nei casi più gravi, agli interessati
L’Osservatorio evidenzia come finora i nuovi obblighi non siano ancora affrontati dai vertici con la dovuta urgenza. Infatti solo il 9% delle aziende interpellate ha in corso un progetto strutturato per adeguarsi al Gdpr e in quasi la metà si lavora all’analisi dei possibili piani di attuazione. «È uno scenario in divenire, con le aziende italiane che non conoscono ancora le implicazioni concrete di information security - sottolinea Alessandro Piva, direttore dell’Osservatorio security & privacy del Politecnico di Milano -. È necessaria un’accelerazione per non farsi trovare impreparati alla scadenza del 2018». Per ora invece si assiste a una partenza al ralenti dei progetti: in una società su due non è stato previsto un budget dedicato, mentre un altro 35% prevede di stanziarlo a breve.