17 Agosto 2017

GDPR

Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea. Il Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei. Mancano meno di 18 mesi all’attuazione e molte imprese risultano ancora impreparate. Secondo una recente indagine dalla società Veritas più della metà delle aziende intervistate (54 per cento) non hanno avviato alcun tipo di preparazione per soddisfare gli standard minimi del GDPR. L’indagine è stata condotta intervistando più di 2.500 senior decision maker in ambito tecnologico.

L’impreparazione delle aziende è confermata anche da una ricerca di Dell e Dimensional Research secondo la quale solo il 9% dei professionisti IT e business è pronto per il GDPR, e da uno studio dell’Osservatorio Security & Privacy del Politecnico di Milano che afferma che le aziende italiane sono in forte ritardo sull’applicazione del GDPR.

Cos’è il GDPR?

 Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 dopo quattro anni di dibattiti e trattative. Le disposizioni rafforzano la protezione dei dati, coerentemente con le attuali preoccupazioni sulla privacy, e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.

I regolamenti sono stati armonizzati con una serie di leggi che si applicano in tutti i 28 Stati membri. Le violazioni del DGPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.

GDPR: cosa temono le aziende

Secondo il sondaggio Veritas quasi il 40 per cento delle imprese teme di non essere conforme ai nuovi regolamenti, mentre poco meno di un terzo (31 per cento) è preoccupato per i danni alla reputazione del brand causati da politiche sui dati poco coerenti.

La responsabilità collettiva è essenziale per impedire che tali timori diventino realtà. La protezione della privacy richiesta dal GDPR presuppone programmi di conformità sostenuti da tutta l’azienda, secondo un report pubblicato della società software AvePoint e dal think tank Centre for Information Policy Leadership (CIPL). Il report raccomanda di integrare i requisiti di sicurezza dei dati in tutte le fasi di ogni processo aziendale, dalla progettazione al rilascio.

In Italia i campi di maggiore rilevanza e novità sono:

• Obbligo di definire i tempi di conservazione dei dati.
• Obbligo di indicare la provenienza dei dati in caso di utilizzo.
• Obbligo di comunicare tempestivamente al Garante violazioni dei propri database.
• Obbligo di predisporre il documento di valutazione di impatto del trattamento dei dati personali.
• Obbligo di gestire l’accountability in materia di data protection con adeguati presidi organizzativi (prevalentemente mediante il Data Privacy Officer).