Venghino siori venghino, più gente entra, più sigle si vedono!
Giuro solennemente che un giorno scriverò un articolo di questa rubrica che non parli di una sigla, ma non è oggi quel giorno.
Iniziamo dalle basi: che cos’è il GDPR.
Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali.
Fin qui sembra tutto chiaro: è qualcosa che ha a che fare con la privacy delle persone.
Semplice? Non proprio, perché la cosiddetta “compliance” al GDPR, cioè il fatto che un’Azienda tratti e gestisca i dati secondo certi parametri stabiliti non è una scelta. E’ un OBBLIGO.
Adeguamento obbligatorio e mal di testa.
Quando questo regolamento è entrato in vigore molti hanno fatto spallucce.
Se ne parlava già da anni, ma è stato sempre un po’ preso sottogamba come obbligo: non è così comune sentir parlare di controlli in questo senso e molti hanno derubricato la questione con un gesto della mano e un “masssssssssì, magari dopo” o il classico “GDPChe?”
Un po’ come quando era diventato obbligatorio mettere l’adesivo sull’auto con la velocità consentita, che come tante cose in questo Paese è “passato in cavalleria” piuttosto velocemente.
Ma a differenza dell’adesivo di cui sopra, il GDPR c’è, vivo e vegeto e rischia di farvi passare dei bruttissimi 5 minuti, oltre a costarvi fino al 4% del fatturato (RIPETO, DEL FATTURATO) come ammenda.
Ho la vostra attenzione? Perfetto.
Cosa, chi, come: nella nebbia si nasconde il rischio.
Il GDPR stabilisce che i dati “sensibili” debbano essere protetti. Punto.
Per fare questo stabilisce che ci deve essere chi si deve prendere la responsabilità legale dei dati che si trattano (il Titolare) e chi deve preoccuparsi de facto della protezione, il Dpo (Data Protection Officer o Rpd). Oltre a questo stabilisce una serie di “paletti” tecnici: ad esempio il dover tenere un registro dei Data Breach o stabilire procedure ed istruzioni operative che vanno scritte, nero su bianco.
Più molte altre regole…
La ratio della norma si basa sulla valutazione del rischio (risk based), con il quale si determina la misura di accountability (tradotto in responsabilità, ma più precisamente “dover rendere conto del proprio operato”) del Titolare del trattamento, che deve tenere conto della natura, della portata, del contesto e delle finalità, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. L’approccio risk based, infatti, ha il vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla Legge ed è più adattabile al mutare delle esigenze e degli strumenti tecnologici. Quindi potremo riassumere in responsabilità e trasparenza i principi generali del GDPR.
Accountability: tutto e niente.
Il concetto di ACCOUNTABILITY è centrale perché, sostanzialmente, si chiede alle imprese di autocertificare di essere “brave, buone e belle” nell’essere GDPR compliant.
Sembra una cosa un po’ arbitraria (e in un qualche modo un po’ lo è), ma tendendo fermi i 6 punti di vulnerabilità principali rispetto al trattamento dei dati e muovendosi in direzione preventiva rispetto ai problemi (e mettendo nero su bianco come lo si fa), si è già avantissimo.
- Distruzione dei dati accidentale o illegale
Es: cancello il file su cui sono riportati i dati dei dipendenti.
- Indisponibilità dei dati
Es: un hacker entra nel sistema e lo rende irrangiungibile
- Perdita dei dati
Es: rubano un PC aziendale
- Modifica dei dati
Es: modifico senza autorizzazione i dati di un dipendente
- Divulgazione dei dati
Es: pubblico foto di dipendenti senza la loro autorizzazione
- Accesso non autorizzato ai dati
Es: qualcuno entra nel sistema e ruba i dati, hacker o anche dipendente
La questione è semplice: se un hacker vi ruba i dati dei dipendenti (ammesso e non concesso che possiate rendervene conto) e la cosa finisce lì, è un problema “relativamente” piccolo.
Molto relativamente, sia chiaro.
Se però vi ricatta – con un cryptovirus – e siete obbligati a chiamare la Polizia Postale per fare denuncia, la prima cosa che vi verrà chiesta è la compliance al GDPR e se avete stabilito delle contromisure (ad esempio in caso di “Data Breach”).
E se non lo siete, oltre al danno inflitto dall’hacker vi ritrovere pure sanzionati e la sanzione, lo ripeto, può arrivare fino al 4% del fatturato. QUATTROPERCENTO DEL FATTURATO, non dell’utile.
“Cornuti e mazziati”.
Non rischiate e chiedeteci come possiamo aiutarvi a rendere più efficiente, sicuro e a prova di GDPR il vostro lavoro!
Per non dimenticare, un luminoso esempio di come NON essere GDPR compliant…
Elena Iseni
Resp. Mkt e Comunicazione
