di Alessandro Capocchi* e Valentina Frediani**

Tra meno di un anno la General data protection regulation europea (Gdpr) sarà pienamente operativa. Nell’anno appena trascorso si è molto discusso dei cambiamenti che il Regolamento impone rispetto all’assetto nazionale in materia di privacy, dei suoi aspetti di continuità e del nuovo apparato sanzionatorio (le ammende previste possono arrivare fino al 4% del fatturato mondiale annuo di gruppo). Tralasciando i tecnicismi, preme richiamare il senso del Regolamento Ue 2016/679, i suoi principi chiave e quale possa essere l’approccio più efficace per raggiungere un livello di adeguatezza sufficiente entro maggio 2018. Non è solo una questione di adempimenti, né di sanzioni, per quanto significative. La normativa ha scopi ben precisi: armonizzare la frammentarietà presente nell’Unione in tema di protezione dei dati; responsabilizzare l’intera filiera di mercato; porre la protezione del dato e la sua sicurezza quali priorità fin dalla progettazione di servizi o applicativi che comprendano trattamenti di dati personali (privacy by design). Allo stesso modo ciò che già è utilizzato in azienda deve dimostrarsi aderente agli obblighi del Regolamento (privacy by default). Assicurare un puntuale monitoraggio sul flusso di dati, adottando le misure per garantirne l’integrità. In caso quest’ultima sia violata, la parola d’ordine diviene la trasparenza; un data breach deve essere comunicato, sempre ed entro 72 ore, all’Autorità competente nonché – nei casi previsti – agli interessati i cui dati siano stati violati. Onere dei titolari è dimostrare (principio di accountability) di aver adottato misure adeguate, nonché piani di reattività efficaci, rispetto agli incidenti di sicurezza. Tali misure non sono dettagliate in modo specifico, ma alcune sono suggerite (in particolare cifratura e pseudonomizzazione). La prevenzione del rischio costituisce un pilastro sul quale pianificare investimenti e correttivi. A tal fine – sebbene non obbligatorio per la totalità delle aziende – è introdotto uno strumento specifico, il Pia (Privacy impact assessment) che, includendo un’attenta analisi lato informatico, è vantaggioso per individuare i rischi e minimizzarli. La privacy diviene un sistema di gestione che coinvolge l’intera organizzazione, i suoi processi, l’operatività quotidiana e la pianificazione di sviluppi futuri. Ora che mancano 12 mesi al traguardo, diventa fondamentale avere chiari gli step principali. Innanzitutto occorre concretizzare una gap analysis dei sistemi informativi rispetto ai principi di privacy by design e by default. Fondamentale ripercorrere i contratti in corso e quelli vicini alla sottoscrizione in ottica Gdpr. Avere una chiara mappatura interna dei ruoli e dei trattamenti effettuati consentirà di individuare responsabilità e pratiche virtuose. Dove opportuno, è possibile avvalersi di un Data protection officer (Dpo) interno o esterno all’organizzazione, un valido strumento di armonizzazione del sistema privacy. La sfida è impegnativa e per molte imprese sarà onerosa. Nel frattempo l’Osservatorio sulle nuove imprenditorialità dell’Università degli Studi Milano Bicocca ha avviato un percorso di studio volto a misurare il cambiamento della cultura digitale all’interno delle aziende italiane e l’investimento che esse fanno in formazione e risorse umane. L’analisi prenderà in esame anche il ruolo delle Università misurando e analizzando i percorsi di studi che le stesse attivano per favorire una nuova cultura digitale tra i futuri manager. Il 2016 è stato l’anno dell’aumento delle spese delle aziende in sicurezza informatica, ma manca ancora una pianificazione degli investimenti di lungo periodo e la creazione di strutture organizzative e di modelli di governance appropriati. (riproduzione riservata)

*Università degli Studi
Milano Bicocca
**founder e ceo
Colin&Partners
Fonte: logo_mf