Datagate, che cos'è il GDPR e come l'Europa vuole proteggere i nostri dati

Datagate, che cos'è il GDPR e come l'Europa vuole proteggere i nostri dati

Mentre Facebook è alle prese con il caso Cambridge Analytica, si attende l'entrata in vigore (in maggio) del regolamento UE sul trattamento dei dati personali, che obbliga le aziende a maggiori responsabilità  e prevede sanzioni. Ma può aiutarle a crescere. Come? Ponendo l'accento su sicurezza, qualità  e competenze

Mentre Facebook fa discutere tutto il mondo per il datagate, in Europa le aziende si preparano alle nuove regole in arrivo sui dati. Il 25 Maggio 2018 entrerà  in vigore il GDPR (General Data Protection Regulation), l'adeguamento al Regolamento UE n. 679/2016 sul trattamento e la protezione dei dati personali. Si tratta di una normativa che obbliga le organizzazioni ad assumersi maggiori responsabilità  sui dati degli utenti e a compiere ogni sforzo per proteggerli. In che modo? Per esempio rendendo obbligatoria la loro cifratura o la notifica entro 72 ore all'Autorità  di protezione dei dati di una qualsiasi possibile violazione (data breach). Le sanzioni per comportamenti scorretti possono arrivare sino al 4% del fatturato globale o a 20 milioni di euro. La General Data Protection Regulation sarà  applicata a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell'Unione Europea. Le norme si applicano dunque anche alle imprese situate fuori dall'Unione europea che offrono servizi o prodotti all'interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno rispettare le nuove regole.

In estrema sintesi con il GDPR:

  • Si introducono regole più chiare su informativa e consenso
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali
  • Vengono poste le basi per l'esercizio di nuovi diritti
  • Vengono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell'Ue
  • Vengono fissate norme rigorose per i casi di violazione dei dati (data breach).

Su questo argomento si svolgerà  GDPR-Ultima chiamata, evento organizzato il 19 aprile a Milano da Agendadigitale.eu, con il patrocinio del Garante per la Protezione dei Dati Personali e del Cini (Consorzio Interuniversitario Nazionale dell'informatica). (QUI è possibile registrarsi all'evento).

Se alcune imprese vedono la GDPR come l'applicazione di una serie di adempimenti burocratici che comporteranno ulteriori costi, in realtà  le nuove regole sono in grado di portare anche vantaggi alle aziende. Vediamo quali.

PIU CYBERSECURITY NELLE IMPRESE

La futura adozione del GDPR ha gia avuto tra le conseguenze un aumento degli stanziamenti destinati alla sicurezza nelle aziende. Secondo l'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, nel 2017 il mercato delle soluzioni di information security in Italia ha raggiunto un valore di 1,09 miliardi di euro, in crescita del 12% rispetto al 2016. La spesa si concentra prevalentemente fra le grandi imprese (il 78% del totale), trainata dai progetti di cyber security e, appunto, dall'adeguamento al GDPR, che contribuiscono ad oltre metà  della crescita registrata. In oltre un'impresa italiana su due (il 51%), è in corso un progetto strutturato di adeguamento alla nuova regolamentazione Ue. Un altro 34% sta analizzando nel dettaglio requisiti e piani di attuazione. Contemporaneamente cresce al 58% (rispetto al 15% di un anno fa) la percentuale di aziende che hanno già  un budget dedicato all'adeguamento al Gdpr. Tutto questo dovrebbe tradursi in aziende in grado di proteggere meglio i propri dati.

La nuova normativa scrive Anna Italiano, Legal Consultant di P4I Partners4Innovation contiene un serie di novità  destinate ad avere un riflesso immediato sulle modalità  e sui fattori di valutazione in base ai quali le aziende selezioneranno i cloud provider e contrattualizzeranno i servizi da essi offerti. Basti pensare all'aggravamento della posizione del data processor (e, quindi, del cloud provider che, normalmente, agisce per l'appunto in qualità  di responsabile del trattamento), all'aumentata attenzione ai profili relativi alla sicurezza o ai maggiori oneri di formalizzazione degli obblighi correlati al trattamento dati, che, inevitabilmente, renderanno gli accordi di servizio più dettagliati e trasparenti. La spinta all'esternalizzazione si traduce in spinta all'accentramento della gestione della sicurezza, con l'obbiettivo di innalzare i livelli generali di protezione contro le minacce.

PIU CONSAPEVOLEZZA DELLE INTRUSIONI

Fra gli aspetti che avranno un maggiore impatto sulla gestione della sicurezza, scrive su Agenda Digitale Claudio Telmon di Clusit, c'è il tema della notifica dei data breach. La necessità  di rilevare e notificare i data breach, come minimo per limitare le sanzioni, richiederà  alle aziende prima di tutto una maggiore capacità  di rilevare gli incidenti, attraverso un monitoraggio efficace degli eventi di sicurezza all'interno del proprio sistema informativo. Questa capacità  di monitoraggio porterà molte aziende ad una maggiore coscienza dello stato della sicurezza delle proprie informazioni.

MAGGIORE QUALITA DEI DATI

Per motivi anche storicamente legati alla non sempre felice storia della privacy europea scrive su Agenda Digitale Franco Pizzetti, professore ordinario di Diritto Costituzionale presso la Facoltà  di Giurisprudenza Università di Torino operatori, imprese e anche decisori pubblici non riescono a comprendere fino in fondo che proteggere i dati significa anche assicurarne la qualità , verificarne l'origine, controllare che la loro utilizzazione avvenga secondo regole che garantiscano il corretto raggiungimento delle finalità  per le quali, spesso affrontando anche costi molto elevati, essi sono raccolti e utilizzati. Dovrebbe essere invece chiaro a tutti che se una attività  produttiva, o finalizzata all'erogazione di servizi, utilizza dati di cattiva qualità , sbagliati, non aggiornati, e, soprattutto, non adatti alle finalità  per le quali si vogliono usare, tutta l'attività  svolta è a rischio e i servizi forniti possono dimostrarsi scadenti, con tutte le conseguenze economiche che possono derivarne.

UNA SPINTA VERSO L'INTELLIGENZA ARTIFICIALE

Attualmente i professionisti della sicurezza possono fare ricorso all'AI (Artificial Intelligence) per prevedere le minacce ed adattarsi ad esse, identificare ed eliminare le vulnerabilità  esistenti, rilevare ed arrestare cyberattacchi con una velocità  e un'efficienza che non è sempre possibile ottenere con l'analisi umana.

Nel settore del monitoraggio di sicurezza, spiega Telmon, potrebbero esserci gli sviluppi più interessanti dal punto di vista tecnologico. Negli ultimi anni infatti, c'è stata molta innovazione nell'ambito dell'intelligenza artificiale, grazie soprattutto allo sviluppo delle tecniche di riconoscimento di immagini.

Una maggiore trasparenza nella progettazione e nell'utilizzo dell'intelligenza artificiale è senza dubbio necessaria, scrive Guglielmo Troiano, avvocato, P4I, su Agenda Digitale. L'ideazione e lo sviluppo delle architetture hardware e software dell'AI dovrebbero essere governate e rese conformi a tutti gli obblighi previsti dalla legge, dal principio della data protection e della security by design, alle misure di sicurezza tecniche e organizzative, alle valutazioni di rischio e d'impatto. Tutti obblighi previsti già  dal nuovo GDPR, regolamento che quindi può rispondere già  concretamente alla esigenze di creare e immettere sul mercato prodotti e servizi AI conformi alla legge e che non comportano rischi per gli individui.

NUOVE OPPORTUNITà DI LAVORO

Il GDPR  ( scrive CorCom ) rende obbligatoria la figura aziendale del Data Protection Officer, che dovrà  essere ben più di un mero garante della compliance normativa. In un mondo in cui i dati diventano un asset fondamentale per qualsiasi impresa, la loro amministrazione si traduce in un'attività  strategica, per la quale la consulenza, l'audit, il patrocinio e l'accrescimento della cultura digitale sono alla base della creazione di valore e vantaggio competitivo, in qualsiasi mercato.

Si aprono dunque interessanti opportunità  di carriera per profili specializzati nelle tematiche legali e informatiche ma anche se corredati da formazione ed esperienza sul campo per curricula costruiti sulle materie umanistiche, sulle scienze della comunicazione e sul marketing. La parola d'ordine, infatti, quando si parla di corretta gestione dei dati, è multidisciplinarietà . Senza contare che solo il lavoro di squadra può mettere a punto una proposizione consulenziale talmente completa e flessibile da affrontare le sfide che pone e porrà  sempre più frequentemente la Data Protection. (L.M.)