GDPR: ecco perché l’Europa ha voluto il regolamento sulla protezione dei dati

GDPR: ecco perché l’Europa ha voluto il regolamento sulla protezione dei dati

Mancano otto mesi all’entrata in vigore del Regolamento Generale Sulla protezione dei Dati, altrimenti noto come GDPR, acronimo in inglese di General Data Protection Regulation. Il 2016 è stato l’anno in cui gli attacchi alla cybersecurity hanno raggiunto livelli record, con episodi di cyber crime concentrati soprattutto nel settore bancario, nella GDO e nella sanità. Nell’aprile 2016, il Parlamento e il Consiglio Europeo hanno pubblicato i regolamenti sulla protezione delle persone fisiche, con particolare riguardo al trattamento dei dati personali, fissando per maggio 2018 i termini di adeguamento per le imprese.

Con l’obiettivo della protezione dei dati l’Unione Europea, avendo in mano le statistiche sull’indice di sicurezza informatica di diversi paesi elaborate da Accenture Security and Oxford Economics, si è resa conto che la media dei paesi UE in termini di sicurezza informatica è al di sotto del punteggio registrato da Giappone, Stati Uniti, Brasile, Singapore e altre economie extra UE. Ha così intrapreso un’iniziativa di riforma per superare la legislazione dei singoli paesi, armonizzando la lotta al cyber crime.

Multe alle imprese che non notificano la violazione della protezione dei dati

Peccato che il recente Piano Industria 4.0, varato dal Ministero dello Sviluppo Economico per innovare le aziende attivando fondi di garanzia, super ammortamenti e iper ammortamenti, trascuri il capitolo sicurezza informatica, premiando invece l’aggiornamento della smart manufacturing. Per le aziende italiane, tuttavia, un quadro normativo al quale riferirsi è una buona notizia, che costringe a migliorare la sicurezza dei dati sensibili. La logica del GDPR è sanzionatoria, con multe che possono arrivare al 4% del fatturato di una grande impresa.

Il ragionamento che hanno fatto le istituzioni europee considera la protezione dei dati personali una priorità: le aziende non possono essere esposte a un attacco di cyber crime senza avere costituito adeguati sistemi di protezione dei dati. Da maggio 2018, oltre al danno di violazione della cyber security, le aziende che non notificano l’attacco subito alle autorità competenti rischiano la multa e il conseguente downgrading – in termini di brand reputation – presso utenti e stakeholder.

Vale la pena, dunque, rivolgersi a un IT manager per adeguarsi tecnicamente e legalmente al GDPR, soddisfacendo soprattutto il concetto di privacy by design, che porta la protezione dei dati al centro della progettazione dei processi aziendali. Una scarsa cultura in termini di data protection può far sottovalutare la scadenza di maggio 2018, specie se si tende a considerare complicato l’adeguamento tecnico. Al contrario, è opportuno interpellare aziende di consulenza informatica di alto livello, già al lavoro su servizi IT completi e facili da gestire. Va aperta quanto prima, insieme al proprio partner IT, un’analisi dei requisiti richiesti dal GDPR, per non farsi trovare impreparati davanti al cambiamento.