Economia & Lavoro

Arriva GDPR, ma non è una nuova serie TV di spie


Ladies & gentlemen la rottura di zebedei si annuncia imminente e improcastinabile. Scatterà inesorabile il 25 maggio prossimo, scadenza importante per chi maneggia dati sensibili. Ci risiamo con la normativa sulla privacy, che, tra un’ipocrisia e l’altra, ci perseguita ormai da qualche anno. Mentre da una parte le nostre identità sono praticamente pubbliche, grazie soprattutto ai Social, dall’altra viene richiesta la massima protezione per i data base aziendali, pena sanzioni che possono anche rivelarsi salate.

Tutto si nasconde dietro una sigla per taluni versi inquietante che sembra quasi l’acronimo di una nuova serie TV con protagoniste spie del KGB e della CIA. Se vogliamo lo spionaggio in qualche modo c’entra. Spionaggio aziendale, fatto da spie nostrane, non venute dall’Est (magari dall’ Est operano famigerati hacker), personaggi che per affari sottraggono identità o fanno scomparire “lead marketing”, ovvero contatti utili per portare a termine una vendita. Senza scomodare gli 007, potrebbero anche essere semplici impiegati sprovveduti o distratti che abbandonano sulla scrivania cartelle imbottite di documenti nei quali compaiono dati sensibili, che possono essere facilmente persi o addirittura sottratti per essere riutilizzati, magari da un concorrente.

La fiction si trasforma in realtà quando ci accorgiamo di non aver adeguatamente protetto i nostri dati, la nostra mailing list, i nostri bei contatti, con le relative schede e documenti. In sostanza, la parte più sensibile del nostro lavoro, che economicamente ha un valore importante, difficilmente quantificabile, ma preziosa a tal punto che se dovessimo perderla d’un botto ci sembrerebbe quasi di aver subìto una seria mutilazione.

Così quell’inquietante sigla da serie TV prende un significato e da “rottura di balle” si trasforma in una grande opportunità per mettere ordine in ufficio e dare una risposta concreta alla nostra necessità di sicurezza, al di là degli obblighi imposti dall’entrata in vigore di questa nuova norma sulla privacy.

GDPR, dalla UE il Regolamento Generale sulla Protezione dei Dati

Il terribile acronimo, quasi impronunciabile, che circola da un pò come uno spauracchio è GDPR, ovvero General Data Protection Regulation, meglio ancora Regolamento Generale sulla Protezione dei Dati. Niente fiction dunque, bensì una normativa della Commissione Europea che ha voluto rafforzare e rendere più omogenea la protezione dei dati personali di cittadini della UE e dei residenti, sia all’interno che all’esterno dei confini dell’Unione stessa. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia proprio il 25 maggio 2018.

A ben pensarci, il problema della protezione dei dati aziendali è davvero importante proprio perchè comporta rischi su molti fronti. Stiamo parlando dei nostri clienti, dei contatti, dei partners anche dei dipendenti, insomma di una serie di informazioni patrimonio della nostra azienda.

Se fino ad oggi, a parte qualche password e un buon antivirus, non ci eravamo preoccupati più di tanto nel mettere al sicuro il prezioso data base, la UE ce lo ricorda in termini chiari, portandoci ad analizzare la questione nel dettaglio, dando il via a una verifica più attenta, predisponendo poi uno standard comportamentale e operativo aziendale. Il GDPR, infatti, è un processo, con relative responsabilità, per gestire correttamente tutti i dati sensibili in possesso di un’impresa.

A un paio di mesi dalla scadenza del maggio, la disinformazione sulle buone pratiche richiamate dal nuovo regolamento ancora serpeggia mentre i tempi ormai stringono sempre più.

Guardiamo il bicchiere mezzo pieno e gli aspetti positivi della norma che solo nelle apparenze è una “rottura di balle”. Diciamo invece che si tratta di una precisa svolta per tutti quegli ambiti che rientrano nella sfera della gestione di un dato personale, con le sue varie sfaccettature. Ovviamente il GDPR è rivolto prioritariamente al mondo del business e delle aziende. E’ quindi facilmente intuibile quali possono essere le implicazioni correlate ai rischi di una cattiva gestione delle informazione e dei singoli dati in nostro possesso.

GDPR, un’utile rivoluzione per la protezione dei dati

Tutte le società devono adeguarsi in modo corretto alle nuove norme in materia di gestione dei dati, per operare senza problemi sull’acquisizione, l’utilizzo e l’eventuale trasferimento di questi a soggetti terzi.

In vista della scadenza del 25 maggio la prima cosa a cui pensare è semplicemente l’adozione del Registro dei trattamenti dei dati personali, che non è solo un fatto  burocratico: l’azienda, infatti, deve recepire il valore dei dati, e i rilevanti danni economici imputabili a una perdita di informazioni sensibili e utili prima di tutto a sé stessa.

Attualmente molte imprese stanno muovendosi per avviare un progetto di adeguamento al nuovo Regolamento europeo sulla Privacy ma quante hanno capito il perché è necessario farlo? Quante hanno avviato un piano strutturato che gli consentirà, entro il 25 maggio 2018, di avere la certezza che nulla sia stato omesso o tralasciato?

Prima di partire in qualunque direzione, occorre che l’azienda si ponga alcune fondamentali domande e faccia le necessarie analisi preliminari dell’intero suo contesto aziendale, raccogliendo tutte le informazioni riguardanti non solo sé stessa ma anche i propri clienti e tutto ciò che forma il proprio data base, vero e proprio “tesoro” aziendale da proteggere.

GDPR, primo passo l’analisi aziendale

Un’accorta analisi dell’attività aziendale è quindi il primo passo necessario per capire qual è la situazione in essere, tenuto conto che magari molte pratiche aziendali hanno già una struttura efficace allo scopo e devono solo essere monitorate o perfezionate. L’azienda dovrà mettere sotto i riflettori e filtrare tutti i dati relativi alle varie attività svolte, analizzando le singole aree del suo business, i Paesi in cui operano i vari titolari, i responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni ottenute, le principali categorie di dati trattati e gli eventuali trattamenti terziarizzati.

Questo passaggio preliminare serve ad avere un quadro completo che consenta di schematizzare e mappare l’attività, partendo da organizzazione e ruoli, persone e competenze, processi e regole, documenti che abbiano impatti sul trattamento dei dati, contratti con fornitori che trattano dati, nomine a responsabili e incaricati del trattamento, processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.

Completato questo primo necessario step, l’azienda dovrà interrogarsi su come dovrà essere organizzato il progetto di adeguamento e, soprattutto, se è in grado di gestirlo da sola o avvalersi di consulenza esterna. Tenuto conto della complessità di certi passaggi operativi e di security ci sta l’intervento di esperti della delicata materia. Prossimamente ritorneremo sull’argomento.

Carlo Gaeta

Print Friendly, PDF & Email