Il GDPR (General Data Protection Regulation 2016/679) richiede alle aziende di adottare, entro maggio 2018, misure organizzative, sistemi e procedure per la protezione di dati e misure tecniche di sicurezza per garantire un controllo continuo sulla conformità dell’azienda al Regolamento.
Ma che impatto ha sulle aziende? Quali sono le criticità e come possono superarle?
Il primo problema di un’organizzazione in fase di adeguamento è la carenza di una mappatura effettiva di tutti i dati personali trattati in azienda, dettagliata per funzioni di business e/o per categorie di persone che vi hanno accesso. Molte aziende, infatti, non hanno il totale controllo delle tipologie di dati presenti in azienda, né degli applicativi o degli strumenti IT coinvolti nella gestione dei dati o delle modalità di conservazione degli stessi. Inoltre, la poca conoscenza dei tipi di dati personali gestiti dall’azienda e dai propri dipendenti, insieme a una scarsa cultura della sicurezza delle informazioni sono elementi fondamentali su cui intervenire per garantire agli interessati una corretta protezione delle informazioni che li riguardano.
In questo scenario l’adeguamento al GDPR deve necessariamente prevedere l’implementazione di misure di sicurezza delle informazioni di base.
In aziende in cui i controlli di sicurezza sono già implementati sarà meno oneroso il percorso di adeguamento alla normativa. Laddove, invece, l’azienda sia sprovvista di misure di sicurezza standard, l’adeguamento risulterà più oneroso sia in termini di risorse economiche, sia in termini di tempo.
Il Regolamento impatta inoltre su diversi processi aziendali. È quindi necessario che anche il piano di adeguamento alla normativa adotti un approccio olistico e utilizzi un framework di analisi che includa:
- un assessment della situazione in essere dell’azienda, che identifichi le procedure di business presenti, mappi i dati personali trattati e identifichi gli applicativi e le infrastrutture coinvolte;
- una gap analysis in cui vengano identificate le eventuali discrepanze della situazione in essere dell’azienda rispetto al GDPR;
- lo sviluppo di un piano di interventi da attuare per assicurare la compliance al Regolamento entro maggio 2018.
Queste indicazioni si basano sull’analisi del rischio e sulla definizione delle reali priorità degli interventi, sempre nell’ottica di riproporre l’approccio proposto dal Regolamento Europeo. Le attività necessarie possono infatti variare da piccoli adeguamenti riguardanti il training dei dipendenti su tematiche di protezione dei dati, ad azioni più impattanti come la ridefinizione di procedure tecniche per garantire la protezione del dato.
A livello esemplificativo, di seguito sono riportate alcune delle possibili attività di adeguamento:
- assicurarsi che le funzioni di business siano a conoscenza delle tipologie di dati trattati, delle procedure da adottare per la loro protezione e condivisione interna;
- svolgere training interni per i propri dipendenti e collaboratori su procedure e policy di protezione dei dati;
- verificare di possedere infrastrutture e procedure adeguate per trattare i dati garantendone la protezione, anche rispetto a parti terze;
- adottare delle misure tecniche che permettano il controllo delle attività sul dato e che generino segnalazioni in caso di comportamenti anomali;
- adottare strumenti che permettano all’interessato di poter esercitare i propri diritti in maniera semplice e chiara;
- adottare misure organizzative e tecniche idonee per garantire che la risposta all’interessato nell’esercizio dei propri diritti avvenga entro i tempi stabiliti dalla normativa (1 mese);
- adottare un registro dei trattamenti completo di tutte le sue parti.
La compliance e il falso senso di sicurezza
Con riferimento alla protezione dei dati, secondo una recente ricerca Accenture le imprese italiane si dichiarano confidenti nella propria gestione in materia di security: tre executive su quattro tra gli intervistati ritengono, infatti, di indirizzare efficacemente la strategia relativa alla sicurezza informatica nella propria azienda. Eppure un tentativo di cyberattack su tre ha successo – con un trend di circa due o tre violazioni di sicurezza al mese – e viene spesso scoperto dopo molti mesi.
Questi numeri indicano come, nonostante le aziende possano risultare in regola con gli adempimenti normativi e sentirsi sicure, la protezione dei dati non sia effettivamente garantita. Per fronteggiare un cybercrime sempre più organizzato e tecnologicamente preparato è necessario investire in innovazione, sia in termini di processi che di tecnologie. Focalizzarsi sulla sola compliance non è sufficiente.
Non solo adempimenti, ma opportunità
Nonostante l’elenco dei molti oneri che gravano sull’azienda, è importante anche evidenziare i possibili benefici che possono derivare dal rispetto del GDPR. Uno tra tutti: la certificazione. Fra le novità del Regolamento, infatti, è presente la possibilità di poter dimostrare la propria conformità attraverso certificazioni e codici di condotta. Tale certificazione non esclude né riduce la responsabilità del titolare o del responsabile del trattamento, ma può costituire un vantaggio competitivo per stipulare accordi con altre aziende, come banche o assicurazioni, e per poter partecipare a bandi pubblici.
Inoltre la razionalizzazione dei processi aziendali che trattano dati personali, come anche la ridefinizione delle misure tecniche, potrebbero generare un impatto positivo grazie alla riduzione di alcuni costi e l’acquisizione di maggiore fiducia dei propri clienti, due elementi fondamentali per il miglioramento della capacità competitiva e della brand reputation.
Per questo è importante che le aziende non affrontino il tema del GDPR come una pura richiesta di adempimento normativo, ma colgano questa occasione per integrare la sicurezza informatica nel tessuto aziendale, portando innovazione e guadagnando competitività.
