di Francesco Bussoletti
Il GDPR UE entra in vigore il 25 maggio, anche in Italia, ma le nostre aziende non sono pronte
Manca poco per l’entrata in vigore in Italia del General Data Protection Regulation (GDPR) e le aziende non sono pronte. Lo denunciano alcuni esperti informatici, con l’avvicinarsi del 25 maggio: data in cui sarà applicabile in tutti gli Stati membri il Regolamento UE 2016/679, compreso il nostro. Questo è legato alla protezione delle persone fisiche in relazione al trattamento e alla libera circolazione dei dati personali. Il GDPR introduce infatti norme più chiare su informativa e consenso; definisce i limiti al trattamento automatizzato dei dati personali; pone le basi per l’esercizio di nuovi diritti; stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue e fissa norme rigorose per i casi di violazione dei dati da cyber attacchi (data breach). Tutti i soggetti coinvolti, in caso di inosservanza delle regole rischiano pesanti sanzioni. Il Regolamento, peraltro, si applica anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato UE.
La tendenza tra le aziende, soprattutto tra le PMI, è che “tanto c’è ancora tempo”. O “una sanzione costerà meno di quanto dovrei investire per adeguarmi”
Almeno in Italia, molte aziende non sono ancora “a norma” del GDPR UE. E, sembra che non intendano provvedere, almeno per il momento. Ancora oggi gli investimenti per cybersecurity e IT, che non producono profitti evidenti e immediati, sono guardati con sospetto. E rimandati il più possibile. Soprattutto da parte delle Piccole e Medie Imprese (PMI), che hanno bilanci più risicati, rispetto ai big. Il ragionamento comune che si sente dire è che “tanto prima che il GDPR abbia realmente effetto, passerà del tempo. Quindi c’è ancora tempo per adeguarsi”. Altri addirittura pensano che “è più conveniente pagare una eventuale sanzione, che rimodulare la propria infrastruttura per renderla conforme” alle nuove norme europee sulla data protection. E, di conseguenza, c’è scarsa tendenza a intervenire, anche con investimenti. Senza contare che il passaggio sugli obblighi relativi ai data breach è visto come fumo negli occhi quasi da tutti.
In Italia, però, c’è ancora una scarsa percezione dei costi reali che potrebbe comportare la non adesione al GDPR. E delle opportunità che questo offre per lo sviluppo
Le aziende in Italia, però, non tengono presente un fattore fondamentale. Quello della costante evoluzione dei pericoli cyber. Che derivino da cybercrime, hactivisti o hacker di stato stranieri. Un data breach non comunicato o il mancato rispetto di altri punti del GDPR può costare molto più che quanto risparmiato non adeguandosi. Non solo in termini economici, ma anche di credibilità, immagine e prospettive. Danni che richiederebbero anni per essere colmati e senza certezza di successo. Chi, invece, ha deciso di adempiere al regolamento UE sulla data protection, deve cercare di sfruttarlo. Non vedendolo come un semplice obbligo burocratico. Ma come opportunità di sviluppo e crescita anche internazionale. Di conseguenza, si suggerisce di investire in maniera intelligente. Selezionando con accuratezza le figure chiave, come il Responsabile della protezione dei dati (Data Protection Officer, DPO). La qualità dei dati è essenziale ed è una merce molto preziosa, non disponibile a tutti.
Fonte: www.difesaesicurezza.com