Oggi 25 maggio 2018, il regolamento generale sulla protezione dei dati dell’UE (GDPR) entra in vigore.
Questa data rappresenta solo l’inizio di un lungo viaggio di conformità per la maggior parte di aziende ed enti.. La consapevolezza del regolamento è certamente aumentata, ma non abbastanza da permettere alle organizzazioni di sapere cosa stanno facendo. Troppi ancora ritengono erroneamente che investire in poche e accattivanti tecnologie di sicurezza sia sufficiente. Credono che le multe saranno qualcosa che accadrà ad altre aziende, non alla propria.
Si sitma che potrebbero volerci fino a cinque anni prima di vedere alti e diffusi livelli di conformità al Reg. Ue 2016/679. Fino ad allora, per molti potrebbe essere una via cruscis se non si concentreranno in questo momento sulla documentazione e sui processi.
C’è ancora un’idea molto diffusa in molti cda che le violazioni e le relative multe possibili, non influenzeranno la propria organizzazione.
Un rapporto afferma che il 38% dei responsabili IT ritiene che la propria organizzazione non abbia considerato prioritaria la conformità al GDPR entro la scadenza. Per certi aspetti è atteggiamento sconcertante se consideriamo gli alti interessi in gioco: dopo tutto, una multa del 4% del fatturato annuale globale è sufficiente per cacciare qualsiasi amministratore delegato.
In realtà l’atteggiamento molto diffuso è che si spera in un approccio soft del Garante Privacy, vedi anche le false notizie dele ultime settimane in cui si mormorava la moratoria per 6 mesi delle sanzioni (voci immediatamente smentite dal Garante stesso).
Le previsioni dicono che i Garanti europei cominceranno molto seriamente l’attività di vigilanza, controllo e sanzionatoria, e questo spingerà ulteriormente le aziende meno virtuose a finanziare progetti completi di compliance al Reg. ue 2016/679.
In questa rincorsa si potranno verificare delle lacune nella realizzazione degli adempimenti dettate dalla fretta e dalla difficoltà di assicurarsi validi consulenti.
E queste lacune faranno sì che le organizzazioni rimarranno esposte al rischio di violazioni e di controlli del Garante.
In realtà la conformità al GDPR e il suo mantenimento costituisce un processo dinamico, di migliroamento continuo supportato dalla tecnologia.
Le aziende quando saranno consapevoli di ciò, dovranno capire:
Dove sono archiviate le informazioni personali identificabili (PII) dei clienti / dipendenti
Le dinamiche dei flussi di dati all’interno e all’esterno dell’organizzazione
Quali dati devono essere eliminati in modo permanente in base al principio della minimizzazione
Dove i dati devono essere conservati e criptati o pseudonimizzati , forse per soddisfare altri requisiti normativi come quelli sanitari.
Le aziende di medie dimensioni sono probabilmente quelle peggio preparate alla scadenza del 25 maggio grazie alla confusione dei cda sul GDPR e alle risorse limitate.
Le aziende più grandi hanno ulteriori sfide, ad esempio la gestione della documentazione necessaria per conformarsi.
I Data protection officer (DPO), imposti dal regolamento a molte aziende, contribuiranno al processo fintanto che non saranno emarginati all’interno dell’organizzazione. I responsabili della privacy sono stati tradizionalmente considerati da molte aziende come un freno all’innovazione piuttosto che un fattore di crescita.
La conformità non è una destinazione, è un continuo processo di miglioramento.