Il GDPR (General Data Protection Regulation), Regolamento Ue 2016/679, è entrato in vigore il 25 maggio 2018 ed è stato recepito recentemente dall’ordinamento italiano con il decreto legislativo 101/2018. Molto si è scritto sui cambiamenti che la nuova normativa introduce ai fini del trattamento e della libera circolazione dei dati personali, ma non sempre forse con la dovuta chiarezza. La sua natura trasversale investe diverse specializzazioni e vari comparti aziendali: da quello legale all’operation, dal marketing all’intera infrastruttura IT. Vediamo, di seguito, qual è l’impatto su quest’ultima.
Dove sono i dati? Scoprilo con l’IT Assessment
Prima ancora di definire quali siano i dati che necessitano di protezione in base al dettato del GDPR, è utile comprendere dove essi si trovino - siano strutturati o meno - e qual è il tragitto che compiono. Non è detto, infatti, che siano custoditi in un unico server e che la rete ne preservi il transito in modo adeguato. Solitamente ogni funzione aziendale utilizza un proprio sistema di gestione aggiunto nel tempo: CRM, ERP, Database potrebbero perciò essere collegati a LoB (Line of Business) differenti, con soluzioni di repository on-premise, oppure Cloud, non necessariamente collegate tra loro. Per questo la prima azione da compiere è quella di un IT Assessment allo scopo di avere una fotografia del sistema informativo aziendale nel suo complesso. Da qui in poi potrà avvenire una gerarchizzazione dei dati, da quelli business critical ai dati personali che rientrano nella sfera di competenza del GDPR.
A tal proposito, l’articolo 35 del GDPR sancisce l’obbligo del DPIA (Data Protection Impact Assessment), cioè della valutazione d’impatto, in tutti i casi in cui un trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il che sembrerebbe escludere molte aziende da tale dovere. In realtà, poiché rientrano nel novero esempi classici come trattamenti valutativi o di scoring, videosorveglianza, gestione di Big Data a fini statistici e di marketing, l’European Data Protection Board (organismo indipendente composto dai rappresentanti delle varie autorità nazionali) raccomanda che il DPIA sia adottato comunque e dovunque.
Le misure tecniche da mettere in atto per la protezione dei dati.
Lo step successivo consiste nel mettere in atto gli adeguamenti necessari a proteggere e a prevenire. Al riguardo l’articolo 32 si sofferma sul tema della sicurezza del trattamento raccomandando «misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio». Queste misure comprendono:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Non sono indicate soluzioni tecnologiche specifiche, ma è evidente il riferimento a Backup, Disaster Recovery e Business Continuity. Il primo deve essere sempre attivo e prevedere meccanismi di cifratura tali da impedire l’accesso ai non autorizzati. Inoltre, deve essere a prova di hacker o di incidenti che rendano indisponibili i dati anche se per un breve lasso di tempo. Un aspetto che si collega direttamente alla funzione di Business Continuity la quale, in questo caso, non serve soltanto a evitare problemi di downtime e arresto dell’operatività dell’azienda, bensì anche a permettere a coloro di cui si detengono i dati di potervi accedere in qualsiasi momento. Con l’aggiunta di una sottolineatura finale: una procedura che dimostri inoppugnabilmente che si sono poste in essere tutte le azioni idonee a garantire l’inviolabilità e l’integrità dei dati. Pena: l’incorrere in sanzioni salate che, per quelle di gravità cosiddetta minore, arrivano a costare 10 milioni di euro o il 2% del fatturato mondiale totale annuo; per quelle ritenute più gravi, invece, fino a 20 milioni oppure il 4% del fatturato mondiale totale annuo.