Il problema GDPR. Siamo davvero pronti?

 “Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire.”
EDWARD SNOWDEN

Il Gdpr è alle porte, ma al suo debutto troverà un panorama irrisolto, sul fronte privacy.

Sappiamo che oramai tra meno di 10 giorni (il 25 maggio 2018) entra pienamente in vigore con tutte le conseguenze sanzionatorie del caso il GDPR, che richiede alcuni adeguamenti Paese per Paese. Il nostro Parlamento si è sì attivato nell’autunno del 2017 per partorire il Decreto Legislativo di adeguamento e si era posto effettivamente come termine ultimo il 21 maggio 2018. Una data che rappresenta un’occasione persa per la scarsa tempestività e quindi è riuscita a mettere ancora in difficoltà le aziende che entro i successivi quattro giorni dovranno adeguarcisi.

Intanto, cerchiamo di aprire gli occhi anche su tutto il corollario normativo che affianca il GDPR.
Nei prossimi giorni infatti attendiamo anche l’applicabilità del Decreto Legislativo relativo alla revisione e alla modifica del Codice della Privacy, nonché quello di attuazione in Italia della Direttiva NIS per la cybersecurity.

 

Il 39% dei più importanti siti italiani non usa protocolli sicuri per trattare dati e sono a rischio hacker. E su 300 siti, 252 non forniscono recapiti del Dpo o altre informazioni per l’esercizio dei diritti degli utenti. Emerge da uno studio dell’Osservatorio di Federprivacy secondo cui buona parte dei più importanti siti web italiani stentano ancora a fare della privacy e della sicurezza online una virtù.

Altro elemento rilevato dallo studio che concorre a frenare il decollo dell’e-commerce made in Italy, “è che ben 252 siti sui trecento analizzati (84%), sebbene siano dotati di una informativa sulla privacy – dice Federprivacy -: non forniscono poi in essa i recapiti per l’esercizio dei diritti dell’interessato o i dati di contatto del data protection officer, informazioni che peraltro dal 25 maggio sarà obbligatorio pubblicare per tutte le PA e per le aziende che trattano dati su larga scala o che profilano gli interessati, tecnica quest’ultima che risulta peraltro attiva nell’85% dei siti italiani esaminati, i quali utilizzano cookies di terza parte che servono proprio a memorizzare e tracciare gusti e preferenze online degli utenti”.

Il Gdpr interesserà qualsiasi azienda che raccolga informazioni sui propri consumatori, e questo vale quasi per ogni organizzazione in tutti i mercati o settori. La conformità Gdpr non può essere raggiunta semplicemente attraverso alcune piccole modifiche al proprio sistema esistente, richiede un cambiamento radicale nei flussi di lavoro, nei processi e nell’archivio dei dati e ha già dimostrato di essere un notevole dispendio di denaro e risorse per molte aziende.
Uno studio EfficientIP X Day ha rilevato che le organizzazioni a livello mondiale spendono singolarmente una media di 1,5 milioni di dollari per essere conformi al Gdpr.
Il conseguente effetto a catena è che le aziende non hanno più le risorse per mantenere le attività basilari di protezione del brand e dei consumatori, o semplicemente dimenticano di farlo a fronte dell’urgenza del problema. In un mondo ideale, le aziende dovrebbero disporre di ulteriori risorse interamente dedicate al Gdpr, mentre il personale esistente può continuare a monitorare e gestire i tradizionali metodi di protezione del brand e dei consumatori. Il basso livello di sicurezza attuale rischia “di essere il preludio di un fenomeno di data breach a ripetizione che dal 25 maggio dovranno essere notificati al Garante per la Privacy e nei casi più gravi anche ai diretti interessati”

 In ogni caso, a complicare ulteriormente la situazione, dal 25 maggio non ci sarà più un testo unico sulla privacy, ma si dovrà fare riferimento al Regolamento e al Decreto, nel quale non si può, per i vincoli europei, trasfondere anche il regolamento.

La privacy digitale è un problema che riguarda ogni singola persona presente sul web. Che si stia chattando con un amico tramite una piattaforma social, inviando una mail al lavoro o effettuando un acquisto attraverso un sito e-commerce, si dovrebbe essere in grado di sapere se i dati personali che sono condivisi con queste organizzazioni siano al sicuro, e utilizzati esclusivamente per gli scopi per i quali si è data l’autorizzazione.

Ci piace dare per scontato che le aziende con le quali interagiamo e da cui acquistiamo siano abbastanza coscienziose a livello morale da rispettare i principi della privacy, lentamente ci stiamo sensibilizzando al problema e rendendo conto che i nostri dati personali non sono così “sacri” come ci piacerebbe credere.

Ma a rendere la vita difficile alle aziende italiane è la troppa confusione intorno al GDPR che ancora regna sovrana.
Obiettivo sarebbe sempre un insieme uniforme di regole in un quadro semplificato, in cui la variabile regolamentare avrebbe dovuto avere poco rilievo e che invece si vede bene come ancora di più oggi torni rilevante e attuale.

Resta quindi la grande incognita di quali saranno le regole applicabili. Non tutte le regole del GDPR sono effettivamente applicabili e il Codice della Privacy ne aggiunge e affianca altre, in una situazione imbarazzante.

Come fare allora?
Salvo poter ricominciare “a stampar moneta” come ai tempi dell’antica Repubblica, la soluzione (o qualcosa di simile) potrebbe venire dal mondo dell’OPEN SOURCE.

In questo panorama, infatti, non solo in diretto riferimento al GDPR, è possibile reperire risorse che, quantomeno a grandi linee, potrebbero contribuire a indirizzare verso uno stato di conformità alla nuova normativa europea.

Ricordiamo, infatti, che nel GDPR spesso si fa riferimento a “… misure tecniche e organizzative idonee …” che il Titolare del Trattamento dovrà mettere in campo per proteggere i dati personali e la loro sicurezza durante le operazioni di trattamento (es. Art. 6 – Art. 24 – Art. 25 – Art. 32 –Art. 35 c.7 lett. d) per citare alcuni esempi)

Ovvio che soluzioni tecniche, informatiche e tecnologiche ON-DEMAND esistano, ma spesso non sono a buon mercato ed è improbabile che le aziende produttrici di questi prodotti siano disposte a far della “beneficenza”.

Da una recente ricerca è emerso come, in seguito all’avvento del GDPR, la spesa per investimenti in sicurezza IT nel periodo 2017 – 2021 si attesterà su un tasso annuo di crescita composto del 19,5% con picchi previsti nel prossimo anno (2019) quando gli investimenti raggiungeranno i 3,7 miliardi di dollari globali (a livello Italia nel 2019 è previsto che sfiorerà i 230 milioni di dollari di spesa!!). Va da se che l’esito di questa ricerca difficilmente (se non sicuramente) potrà verificarsi nella PA e nelle PMI (!!)

Quali indicazioni dare allora ad una PA o PMI che volesse (in attesa di reperire eventuali fondi) tendere alla conformità al GDPR utilizzando strumenti OPEN SOURCE?

Innanzi tutto indirizzarsi verso applicativi che possano essere utilizzati sia per verificare lo stato di sicurezza delle proprie infrastrutture di rete sia dei propri applicativi e delle policy di sicurezza.

Sono tre le misure principali e davvero utili in questo caso:

  1. Analisi del rischio correlato all’utilizzo di tecnologie digitali (security assessment): è il punto di partenza di qualsiasi strategia aziendale e permette di bilanciare gli investimenti in base all’uso effettivo delle tecnologie nei processi di business. Si parla di diverse possibilità, tra cui quella di affidare la totale gestione delle proprie tecnologie digitali in outsourcing. Questa opportunità consente una significativa riduzione dei fattori di rischio in un contesto tecnologico tanto efficiente quanto piuttosto complesso
  2. Monitoraggio e protezione: l’approccio migliore è quello totale. Un esempio? Un software che garantisca la protezione antimalware in tempo reale, la sicurezza dei dispositivi mobile, la gestione dei sistemi, strumenti di controllo degli endpoint (controllo applicazioni, dispositivi e web) e crittografia dei dati. Che abbia la capacità di intercettare e neutralizzare anche le minacce più immediate .
  3. Backup dei dati e degli ambienti applicativi: Cosa fareste se doveste perdere tutti i dati (documenti, contatti, foto, video etc) salvati nel computer? Negli scenari aziendali, sempre in logica preventiva, sarebbe opportuno adottare soluzioni di backup dei dati e delle soluzioni applicative, con possibilità di ripristino in tempi brevi. Soluzioni in outsourcing di BaaS – Backup as a Service – e di DRaaS – Disaster Recovery as a Service – garantiscono la continuità operativa grazie a  un backup effettuato regolarmente , con la possibilità di avere una replica dei dati e delle applicazioni presso datacenter di primaria importanza, e quindi sicuri, sul territorio nazionale. Si tratta di spese e soluzioni per migliorare la sicurezza dei dati e per evitare grossi danni futuri, come perdita di denaro, di produttività e di credibilità.

Va da se che strumenti e soluzioni di questo tipo, da soli, con molta probabilità, non saranno sufficienti ad adeguare pienamente una PA o una PMI alla conformità del GDPR, ma con buona probabilità il loro utilizzo, insieme ovviamente ad una ridefinizione dei processi interni (policy di sicurezza, le procedure di Disaster Recovery, le procedure di sicurezza/archiviazione dei dati, la formazione del personale ecc.) potrebbero essere considerati (in caso di eventuale controllo da parte dell’Autorità competente) come dimostrazione di “buona volontà” e propensione verso la conformità prevista all’interno della normativa europea.

(Fonte: Itcsecurity)

SE SEI INTERESSATO AD APPROFONDIRE L’ARGOMENTO SEGUICI SULLE NOSTRE PAGINE SOCIAL O ISCRIVITI ALLA NOSTRA NEWSLETTER.
COMMENTA PER FARCI SAPERE QUALI SONO LE TUE PERPLESSITÀ ED OPINIONI A RIGUARDO. OPPURE COMPILA IL QUESTIONARIO AL SEGUENTE LINK PER OTTENERE UN REPORT GRATUITO SULLO STATO DELLA TUA AZIENDA : TEST AZIENDA

Il 25 Maggio sta per arrivare, il nostro obiettivo è di rendervi consapevoli sulle novità ed adempimenti introdotti dalla normativa.

2018-05-17T10:49:25+00:00

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Iscriviti alla Newsletter

Resta sempre informato su le ultime novità. Inserisci la tua email per ricevere aggiornamenti utili alla tua attività.

Newsletter mensile

 

contrast_data_protection_officer_uk

Inserendo l’email dichiari di accettare la nostra privacy policy