Conto alla rovescia per il GDPR

La deadline del 25 maggio è ormai vicina e le aziende e istituzioni pubbliche che lavorano con i dati personali degli utenti sono tenute ad adeguarsi al Regolamento generale per la protezione dei dati personali o General Data Protection Regulation (GDPR), se non vogliono rischiare pesanti contromisure. In caso di mancata osservazione non intenzionale, scatta prima un’ammonizione ma poi le sanzioni si fanno molto salate, fino a raggiungere i 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

 

Con il nuovo Regolamento, la Commissione Europea certifica l’ingresso dell’economia nell’era digitale. Secondo Mario Rasetti, guru mondiale del data science, i dati prodotti nel solo 2017 sono stati superiori a quelli generati dall’uomo in tutta la sua storia.

Di cosa stiamo parlando? Dei dati prodotti in ogni momento della giornata con le ricerche su Google, gli sms, le e-mail, i post su Facebook, le foto pubblicate su Instagram, i tweet.

Dati che nascondono informazioni sulle nostre vite, che vengono rimbalzati su migliaia di soggetti, anche se abbiamo pochi follower sui Social Media. Ma sono anche i dati prodotti dagli 8 miliardi di oggetti oggi connessi in rete che, grazie all’espansione impetuosa dell’Internet of Things, supereranno il tetto dei 20 miliardi nel 2020.

 

Stiamo vivendo una rivoluzione digitale che apre le porte allo sviluppo e alla internazionalizzazione delle imprese, ma amplifica anche il rischio di finire nel mirino degli hacker e dei sempre più temibili e sofisticati attacchi informatici. I cyber risk sono una minaccia che riguarda tutti i settori di business, anche quelli più tradizionali. In questa realtà in rapida trasformazione, il GDPR interviene per garantire agli utenti un sistema di protezione dei dati personali efficace e omogeneo in tutti i Paesi dell’Unione Europea.

 

Industry 4.0, Big Data, intelligenza artificiale, robotica, sono i paradigmi della nuova società digitale, dove i dati rappresentano il vero patrimonio aziendale e la capacità di estrarne valore diventa il fattore determinante per il successo delle imprese. Sicurezza, gestione e trattamento dei dati sono tematiche sempre più centrali nella definizione delle strategie aziendali.

Il trattamento dei dati personali è l’architrave del GDPR. Le aziende devono adottare misure idonee a proteggere i dati contenuti nei propri sistemi e sono obbligate a notificare i casi di furto dei dati, entro le prime 72 ore dalla violazione. Tra le altre misure chiave: la creazione del Data Protection Officer, ovvero la figura responsabile della protezione dei dati e delle attività di compliance alla normativa; la creazione del registro dei trattamenti, in base al quale si comunicherà agli interessati come verranno usati i dati; i soggetti interessati dal trattamento dei dati possono richiedere l’accesso ai dati trattati ed esercitare il diritto all’oblio, quindi interrompere la diffusione e l’elaborazione delle informazioni personali e ottenere la cancellazione dei dati, attraverso la revoca del consenso; garantire la portabilità dei dati.

 

È evidente che l’applicazione della normativa va a impattare in maniera significativa sui processi, sui sistemi informativi e anche sui costi.

Ma le aziende europee come stanno rispondendo?

La percezione è che finora siano state solamente le organizzazioni più strutturate ad essersi adeguate alla normativa, mentre la stragrande maggioranza di imprese medio-piccole di tutta Europa sono in forte ritardo, molte delle quali (il 37% secondo una ricerca di WatchGuard Technologies) non hanno ben chiari gli obblighi del regolamento.

 

L’adeguamento alla compliance non è un processo semplice. L’approccio alla disciplina non è di carattere prescrittivo, cioè la normativa non stabilisce cosa fare per essere compliant, ma indica determinati obiettivi da raggiungere a garanzia della tutela dei dati personali.

Si tratta di una normativa molto flessibile, pensata per adattarsi ai tempi velocissimi dell’innovazione tecnologica che non prevede modelli validi per tutte le realtà.

Adeguarsi al GDPR richiede quindi un approccio multidisciplinare, partendo dalla necessità di effettuare un’analisi dei rischi che va ad accendere un faro sulla cyber security. Secondo l’ultimo rapporto Clusit (Associazione Italiana per la Sicurezza informatica) nel corso del 2017 ammontano a 500 miliardi di dollari i danni economici provocati a livello globale dai criminali cyber.

 

Sono numeri da far paura in una realtà dove la digitalizzazione e l’interconnessione hanno eliminato i confini spazio-temporali, rendendo impossibile prevedere la portata del cyber risk. Di sicuro, una violazione dei dati può minare la sostenibilità economica dell’azienda, senza contare gli annessi danni reputazionali. Ecco allora che la normativa GDPR diventa un’ottima opportunità, non solo per proteggere i dati personali, ma anche per considerare il modo di difendere gli asset strategici dai rischi cyber che rappresenta la grande minaccia di oggi e di domani.

 

L’industria assicurativa è l’unica realtà ad avere le competenze, gli strumenti e la cultura per valutare i cyber risk, mitigarli, gestirli e assistere le aziende nell’attività di prevenzione.

 

In questo senso la polizza assicurativa non risolve tutti i problemi, ma è uno strumento indispensabile all’interno di un processo integrato di gestione e di mitigazione del rischio che deve essere conosciuto, monitorato e governato nel tempo. La domanda di coperture cyber risk sta aumentando in tutto il mondo a dimostrazione della crescente consapevolezza delle aziende sull’utilità delle soluzioni assicurative nell’arginare i danni finanziari. Parliamo di un mercato, quello dei cyber risk, ancora agli albori, ma che permette già oggi di tutelarsi per la perdita o divulgazione di dati personali e sensibili, per il danneggiamento dei sistemi informativi piuttosto che per l’interruzione dei servizi e molto altro ancora.