GDPR: la risposta della Scuola Internazionale di Etica & Sicurezza

Il GDPR avrà conseguenze importanti su tutte le organizzazione che acquisiscono, trattano ed elaborano i dati personali. Non solo si devono soddisfare tutti i requisiti, ma occorre anche essere in grado di produrre documenti che dimostrino la compliance in modo da giustificare le scelte intraprese (principio dell’accountability).

Un tema molto caldo soprattutto se si considera che la cybersecurity italiana vale un miliardo di euro e che la gestione dei dati determina il futuro economico delle organizzazioni.

Ma conosciamo davvero il tema del Data Protection? Questo tema in Italia è ancora materia da addetti ai lavori, si pensa che la data protection sia una norma da aggiungere alle altre, un costo da sostenere e non una straordinaria opportunità di crescita e di rilancio per un’azienda e il suo patrimonio di informazioni.

Il GDPR introduce un approccio di data protection viva, in continuo movimento, condivisa tra le unità organizzative e spostata verso i diritti fondamentali degli individui: dal diritto di accesso a quello di rettifica, dal diritto alla cancellazione/oblio a quello di limitare il trattamento, dal diritto alla portabilità dei dati a quello di opposizione. Stavolta il legislatore vuole una vera svolta, viste anche le sanzioni previste che possono arrivare anche al 4% del fatturato annuo mondiale.

Secondo l’ultima ricerca veicolata dall’Osservatorio Information Security & Privacy del Politecnico di Milano in oltre un’impresa italiana su due (il 51%), è in corso un progetto strutturato di adeguamento alla nuova regolamentazione Ue in materia di trattamento dei dati personali che diventerà pienamente applicabile a partire dal 25 maggio 2018 (erano appena il 9% un anno fa) e un altro 34% sta analizzando nel dettaglio requisiti e piani di attuazione. Contemporaneamente, cresce al 58% (rispetto al 15% di un anno fa) la percentuale di aziende che hanno già un budget dedicato all’adeguamento al Gdpr.

Uno dei principali elementi di novità è dato dalla figura del Data Protection Officer: il DPO (figura interna o esterna all’azienda) avrà un compito determinante, sarà un supervisore indipendente che avrà una posizione molto simile a quella dell’Organismo di Vigilanza (ex d.lgs. 231/01) con la finalità di garantire che l’organizzazione sia conforme al GDPR.

Come scegliere dunque il DPO considerando le competenze giuridiche, normative, organizzative, gestionali e tecnologiche che deve avere?
Viene in aiuto la norma UNI 11697:2017 che delinea le qualifiche e i requisiti di studio e professionali che i profili devono possedere. Alla norma UNI si aggiunge il tema della certificazione volontaria che è indubbiamente un elemento aggiuntivo in termini di garanzia, tanto per il singolo professionista quanto per l’Organizzazione.

Cosa faranno le aziende? “Possiamo testimoniare che le Organizzazioni sensibili al tema e più mature, in termini di conoscenza della materia, ci chiedono un percorso formativo finalizzato alla certificazione e, allo stesso modo, i professionisti che desiderano intraprendere la professione di DPO” commenta Paola Guerra, direttrice della Scuola Internazionale Etica & Sicurezza. “Dalle aziende che abbiamo interpellato direttamente attraverso la nostra survey qualitativa (abbiamo lavorato sulle risposte raccolte, il 20% del campione interpellato fatto di referenti di aziende di grandi dimensioni, nazionali e multinazionali) ci risulta che: i settori su cui si ritiene che il GDPR impatterà di più sono TLC (telecomunicazioni) e Sanità; la metà delle aziende ha iniziato il processo di adeguamento alla norma; un quarto non era a conoscenza della norma UNI 11697:2017; un quinto ritiene che la nuova norma non è utile”.