Il regolamento europeo sulla privacy è in vigore: è tempo di prepararsi

Il nuovo regolamento europeo sulla protezione dei dati personali è ormai in vigore.
La data prevista per la sua applicazione è fissata per il 25 maggio 2018. Due anni all'incirca ! Potrebbero sembrare più che sufficienti per adeguarsi, ma vanno letti alla luce della portata innovativa del regolamento.
 L'87% di un campione rappresentativo dei CIO si è detto preoccupato del fatto che le attuali politiche e procedure di sicurezza li lascino esposti al rischio di non conformità al regolamento; secondo altre ricerche, gli investimenti relativi alla protezione dei dati non hanno ancora una priorità elevata per le aziende, con il 63% dei rispondenti che sottolinea un grado di maturità dei programmi sulla privacy, ancora nelle fasi iniziali o a metà dell'opera. Infine, una buona parte dei professionisti IT all'interno di organizzazione medio grandi non si è detto confidente sulla possibilità di garantire una conformità con il regolamento per la data del 25 maggio 2018.
Si tratta di statistiche che, al di la dei numeri, evidenziano uno stato di impreparazione e confusione all'interno delle organizzazioni in tutto il mondo. Tutto legittimo, considerate le novità rilevanti introdotte dal regolamento, quali:

  • la notifica entro 72 ore delle violazioni alla sicurezza dei dati personali (data breach);
  • l'introduzione del principio secondo cui i titolari devono dimostrare di essere stati responsabili nell'attuazione del regolamento;
  • la necessità di integrare i principi di protezione dei dati nello sviluppo dei processi e dei sistemi di business, nonchè l'applicazione predefinita di impostazioni di protezione stringenti (es. minimizzazione dei dati);
  • l'esecuzione di valutazione di impatto e la nomina di responsabili della protezione dei dati (data protection officer), nei casi previsti
Si tratta di novità tali da comportare la revisione di strutture e processi aziendali al fine di prevedere:

  • la creazione di piani di notifica delle violazione che non coinvolgano soltanto il personale IT ma, ad esempio, anche HR, legale, ecc...
  • la creazione di una cultura di monitoraggio, revisione e valutazione dei processi di trattamento dei dati personali;
  • la riduzione al minimo dei trattamenti e delle politiche di conservazione dei dati;
  • l'integrazione delle misure di sicurezza nelle attività di trattamento;
  • la documentazione delle politiche, procedure e operazioni di trattamento per poterle esibire eventualmente, su richiesta, all'autorità di controllo
Senza dimenticare poi i nuovi diritti per gli interessati come quello di richiedere la cancellazione dei propri dati senza ingiustificato ritardo, il diritto alla portabilità dei dati, il diritto di non essere sottoposto a decisioni basate unicamente su processi automatizzati; nuove forme di tutela che si intrecciano con quelle tradizionali e pongono sulle aziende l'onere di raggiungere una capacità, non soltanto procedurale e organizzativa, ma anche tecnologica per poter rispondere ad eventuali richieste degli interessati.

Insomma, la portata innovativa del regolamento è tale da creare la necessità di definire un processo che parta da una valutazione dello status quo di adeguatezza ai nuovi requisiti e si muova progressivamente verso la creazione di un ambiente di protezione della privacy e la definizione di una strategia di adeguamento aderente ai rischi e ai vincoli di budget che ogni organizzazione ha.

Un iter questo che sconsiglia di prendere sotto gamba il termine di due anni; del resto, come diceva un vecchio adagio: chi ha tempo non aspetti tempo.

0 commenti: