Tra poco più di un anno, il 25 maggio 2018, entrerà in vigore il nuovo regolamento europeo sulla protezione dei dati personali, approvato definitivamente nell’aprile 2016 (qui potete leggerne il testo integrale), e la consapevolezza delle imprese sull’argomento è limitata: al momento, solo un’azienda italiana su cinque ne conosce nel dettaglio le implicazioni e solo il 9% ha avviato un progetto per adeguarsi alla normativa. Sono alcuni dei dati diffusi in anteprima da Gabriele Faggioli (in foto), Presidente dell’Osservatorio Security & Privacy del Politecnico di Milano e del Clusit, l’Associazione italiana per la sicurezza informatica, nel corso di un evento al quale ha partecipato anche Antonio Caselli dell’Autorità Garante per la Protezione dei Dati Personali.
“L’adeguamento alla normativa GDPR (General Data Protection Regulation) non è immediato e richiede un percorso di avvicinamento con il coinvolgimento del management delle imprese per non giungere impreparati alla scadenza e non rischiare di incorrere in sanzioni”, ha spiegato Faggioli.
Indice degli argomenti
Consapevolezza limitata
Dalla ricerca risulta che la consapevolezza delle imprese sul nuovo regolamento è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% sono note solo nelle funzioni specialistiche, ma non è ancora un tema all’attenzione del vertice. In quasi la metà delle organizzazioni (il 46%) è in corso un’analisi dei requisiti richiesti e dei piani di attuazione possibili, ma solo nel 9% è già in corso un progetto strutturato di adeguamento alla normativa. Solo in pochi casi esiste un budget dedicato (nel 7% con orizzonte pluriennale, nel 8% con orizzonte annuale); nel 35% dei casi sarà stanziato a breve, mentre nel restante 50% non è presente e non lo sarà neanche in futuro.
I cambiamenti organizzativi sono ancora limitati: nell’12% dei casi con la definizione di nuovi ruoli oppure con l’identificazione di un team di lavoro trasversale (9%); nel 34% dei casi non ci è ancora stato alcun cambiamento, ma sarà attuato nei prossimi 6 mesi; nel restante 45% non sono previste modifiche in futuro. Tra le principali azioni già avviate dalle organizzazioni vi sono l’assessment sui rischi privacy (42%), il coinvolgimento di consulenti esterni (39%), la definizione di responsabilità e owner di processo (26%), azioni informative verso Board e Top Management (25%), revisione profonda degli attuali sistemi di IT security (22%), ricerche e corsi di formazione (20%), definizione di nuovi processi decisionali e comportamentali (12%).
L’Osservatorio Security & Privacy sarà presentato nella sua interezza il prossimo 2 febbraio. In questa occasione saranno diffusi i dati sul mercato della security in Italia e l’impatto sulla sicurezza dei principali trend dell’innovazione digitale.
Il Data Protection Officer
Tra le novità della nuova normativa – come ha evidenziato anche Antonio Caselli – c’è la figura del DPO (Data Protection Officer), il Responsabile della protezione dei dati nominato dal titolare del trattamento o dal responsabile del trattamento.
Dovranno designare obbligatoriamente un Responsabile della protezione dei dati amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Il Responsabile della protezione dei dati dovrà:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
Novità per l’IoT
Oltre all’introduzione del DPO, la nuova normativa prevede anche una serie di prescrizioni che interessano chi si occupa di IoT. Tra queste segnaliamo la valutazione d’impatto, la consultazione preventiva, la privacy by design, il registro dei trattamenti, la certificazione, l’obbligo di comunicare le violazioni. Cambiano anche le sanzioni, che arrivano fino a 10 milioni di euro o il 2% del fatturato mondiale annuo dell’esercizio precedente per le imprese.