Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei. Mancano meno di 18 mesi all’attuazione e molte imprese risultano ancora impreparate. Secondo una recente indagine dalla società Veritas più della metà delle aziende intervistate (54 per cento) non hanno avviato alcun tipo di preparazione per soddisfare gli standard minimi del GDPR. L’indagine è stata condotta intervistando più di 2.500 senior decision maker in ambito tecnologico.
L’impreparazione delle aziende è confermata anche da una ricerca di Dell e Dimensional Research secondo la quale solo il 9% dei professionisti IT e business è pronto per il GDPR, e da uno studio dell’Osservatorio Security & Privacy del Politecnico di Milano che afferma che le aziende italiane sono in forte ritardo sull’applicazione del GDPR.
Cos’è il GDPR?
I regolamenti sono stati armonizzati con una serie di leggi che si applicano in tutti i 28 Stati membri. Le violazioni del DGPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.
GDPR: cosa temono le aziende
Secondo il sondaggio Veritas quasi il 40 per cento delle imprese teme di non essere conforme ai nuovi regolamenti, mentre poco meno di un terzo (31 per cento) è preoccupato per i danni alla reputazione del brand causati da politiche sui dati poco coerenti.
La responsabilità collettiva è essenziale per impedire che tali timori diventino realtà. La protezione della privacy richiesta dal GDPR presuppone programmi di conformità sostenuti da tutta l’azienda, secondo un report pubblicato della società software AvePoint e dal think tank Centre for Information Policy Leadership (CIPL). Il report raccomanda di integrare i requisiti di sicurezza dei dati in tutte le fasi di ogni processo aziendale, dalla progettazione al rilascio.
In Italia i campi di maggiore rilevanza e novità sono:
• Obbligo di definire i tempi di conservazione dei dati.
• Obbligo di indicare la provenienza dei dati in caso di utilizzo.
• Obbligo di comunicare tempestivamente al Garante violazioni dei propri database.
• Obbligo di predisporre il documento di valutazione di impatto del trattamento dei dati personali.
• Obbligo di gestire l’accountability in materia di data protection con adeguati presidi organizzativi (prevalentemente mediante il Data Privacy Officer).