Più diritti e opportunità per tutti. Ma anche più obblighi e responsabilità per aziende ed enti pubblici, che dovranno adeguarsi per tempo al fine di evitare brutte sorprese. Può essere riassunto così il nuovo Regolamento europeo 2016/679 che entrerà in vigore il prossimo 25 maggio 2018 e comporterà un cambiamento epocale sul fronte della protezione dei dati personali. Approvato dal Parlamento e dal Consiglio europeo lo scorso 24 maggio 2016, il pacchetto di riforme definisce un quadro normativo comune in tutti gli Stati membri e, di fatto, rafforza i diritti fondamentali dei cittadini nell’epoca digitale, che beneficeranno, ad esempio, di regole più chiare, avranno la possibilità di accedere ai propri dati personali gestiti da enti o imprese e richiederne la cancellazione (salvo alcune eccezioni); dovranno, inoltre essere informati in caso di violazione degli stessi (i cosiddetti data breach).Anche professionisti e imprese godranno di diversi benefici – prevista, ad esempio, un’unica autorità di supervisione – ma saranno chiamati anche a una maggior cautela nel trattamento dei dati. «Il Regolamento obbliga le aziende ad adeguarsi in ambito di protezione dei dati personali», sottolinea Marco Icardi, a.d. di Sas Italy, che sta supportando aziende italiane e internazionali ad affrontare un cambiamento epocale. «I rischi e le multe sono talmente elevati che per un’azienda è impensabile decidere di non adeguarsi». Il principio chiave della riforma viene sintetizzato in “privacy by design”, ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.
Quanto è grande questo cambiamento per le aziende? Enorme. La General Data Protection Regulation (Gdpr) rivoluziona il modo in cui le imprese raccolgono, gestiscono e trattano i dati personali dei cittadini dell’Unione in tutta l’azienda, sia all’interno sia all’esterno dei sistemi It. Le società saranno chiamate a un grande sforzo iniziale per quantificare e individuare i dati personali da loro gestiti, e anche la mentalità dovrà necessariamente cambiare: la protezione dei dati personali deve diventare parte della cultura aziendale e deve partire dai livelli più alti, dall’amministratore delegato e dal management. I dipendenti devono poi essere sensibilizzati quando trattano dati personali e devono essere consapevoli di cosa possono o non possono più fare.
LE AZIENDE SONO CHIAMATE
A UN GRANDE SFORZO INIZIALE,
LA MENTALITÀ DOVRÀ CAMBIARE
Rispetto all’attuale normativa italiana, quali saranno le grandi novità?Di fatto, il Regolamento europeo cambia integralmente il concetto di privacy, creando un radicale cambio di pensiero, una rivoluzione culturale: si passa da un approccio formale (fare quanto previsto dalla legge) a uno sostanziale (valutare la soluzione più adatta per il proprio caso concreto). Secondo l’attuale normativa italiana, infatti, titolari e responsabili sono chiamati ad adempiere a obblighi, formalità e misure minime previste dalla legge per esimersi da responsabilità. Con il Regolamento Ue, invece, titolari e responsabili sono chiamati a ridisegnare e ripensare la propria privacy – by design e by default – adottando sin dall’inizio le migliori soluzioni adeguate al loro caso concreto e allo specifico livello di rischio, solo così esimendosi da responsabilità.
Sono previste multe fino a 20 milioni di euro o il 4% del fatturato. In che occasione le aziende verranno multate?Il regolamento deve essere applicato e le multe saranno proporzionali alle misure adottate per proteggere i dati rispetto al Privacy Impact Assessment, che deve essere effettuato per i dati personali contenuti nei propri sistemi aziendali. Sarà l’authority di controllo a valutare l’importo dell’eventuale multa. È importante tenere a mente che tale importo è limitato dal maggior valore tra 20 milioni di euro e il 4% del fatturato globale dell’azienda, e non dal valore più piccolo.
– GUIDA AL NUOVO REGOLAMENTO UE
Secondo la sua esperienza, qual è la situazione delle aziende italiane? Sono preparate? Dove si trovano le maggiori lacune?La maggior parte delle aziende con cui lavoriamo stanno adottando due approcci differenti. Alcune sono in attesa di ricevere maggiori chiarimenti su come la conformità al regolamento verrà misurata e imposta. Altre si stanno muovendo attivamente per capire meglio ciò che devono fare ed essere preparate. È sorprendente che, anche se mancando meno di 300 giorni lavorativi prima che il regolamento entri in vigore, molte aziende non abbiano ancora iniziato una delle azioni fondamentali per il Gdpr: ovvero identificare e categorizzare i dati personali all’interno dell’azienda. Questo ritardo nel lungo termine potrà risultare costoso. Secondo la nostra esperienza, il lavoro da fare è tanto. Anche decidendo di automatizzare il più possibile utilizzando ad esempio software e soluzioni, come quelle proposte da Sas, è fondamentale iniziare il prima possibile e non aspettare.
Le imprese italiane che operano in Gran Bretagna dovranno comunque tenere in considerazione il regolamento europeo?Qualsiasi azienda che possiede dati di cittadini dell’Unione europea all’interno dei propri sistemi è soggetta alla regolamentazione. Pertanto, sono incluse non solo le imprese dell’Unione, ma anche le aziende che si trovano al di fuori. Si sta ancora discutendo su come valutare e applicare le sanzioni per le aziende che sono al di fuori dell’Ue e non rispettano la normativa.
In che modo Sas può affiancare le aziende nel gestire questo passaggio epocale?Stiamo supportando numerose aziende in Italia, in Europa e nei Paesi di tutto il mondo. Collaborando con le figure di Data Protection Officer, aiutiamo i nostri clienti a rispondere efficacemente alle cinque aree fondamentali per l’implementazione della Gdpr. Mi riferisco all’accesso ai dati per individuare informazioni e dati personali; all’individuazione dei dati personali attraverso fonti differenti; al governo e mappatura dei dati personali censiti; alla protezione dei dati personali attraverso tecniche di anonimizzazione e crittografia; e alla revisione dei permessi di accesso ai dati personali e controllo degli accessi. La soluzione Sas e l’offerta di servizi quick start permettono ai nostri clienti di avviare programmi in ambito Gdpr in modo veloce ed efficiente.
La vostra soluzione si rivolge a tutte le tipologie di aziende?Certamente. Le nostre soluzioni sono pensate sia per le aziende piccole o medie piccole, sia per le aziende di grandi dimensioni. In ogni settore, sia pubblico che privato.
Ha accennato al Data Protection Officer al quale, secondo la normativa, spettano compiti di sorveglianza sulla corretta applicazione del regolamento. C’è già una figura aziendale adatta a ricoprire questo ruolo o bisognerà prevedere una nuova professionalità e relativi corsi di formazione?Secondo la nostra esperienza, il Data Protection Officer (Dpo) può provenire da differenti reparti all’interno dell’azienda. Abbiamo visto Dpo appartenenti al dipartimento Legal/Compliance, Rischio e It. La caratteristica fondamentale che deve avere chi ricopre questo ruolo è la profonda conoscenza delle regole Gdpr e di come devono e possono essere applicate all’interno dell’azienda sulla base delle caratteristiche e specificità proprie dell’organizzazione.
© Riproduzione riservata
