«Le imprese italiane di fronte al regolamento europeo possono scegliere di affrontare l’adeguamento in maniera passiva oppure di viverlo come un’opportunità di miglioramento affrontando il cambiamento in modo proattivo, divenendo esso stesso un momento di riflessione generale, al fine di poter fare un’analisi dello stato dell’arte». Marta Struzzi Group general counsel – responsabile legal, compliance & corporate affairs del Gruppo System, legge il fenomeno nell’ambito della progressiva digitalizzazione dell’economia. «La Privacy è sempre stata una materia delicata e complessa, soprattutto con l’avvento di internet e delle tecnologie digitali si è venuto a creare un disallineamento tra la normativa in vigore (dlgs del 30 giugno 2003, n. 196) e le esigenze di andare a comprendere e normare un nuovo scenario caratterizzato, da un lato da una forte espansione della rete, dall’altro lo sviluppo di tecnologie digitali che hanno dato vita non solo a nuovi mezzi di comunicazione, ma anche a nuovi atteggiamenti sociali così come a nuove modalità di scambio d’informazioni». Spostando il focus sul concetto di dato, aggiunge che «fino a qualche anno fa, il Dato veniva associato ad un concetto di mera riservatezza e confidenzialità. Oggi il termine Dato ha assunto una nuova connotazione, diventando esso stesso identificativo di uno o più elementi caratteristici dell’identità fisica della persona». Stesso discorso per il Dpo: «I cambiamenti portano sempre alla creazione di nuovi equilibri. L’entrata in vigore del regolamento va vista come un’opportunità anche in termini di nuove figure professionali».
Altro fronte interessante è quello delle aziende che offrono servizi per la gestione dei dati e lo storage delle informazioni. È il caso di Dolman Aradori – vice president, responsabile del dipartimento security di Ntt Data Italia il quale sottolinea come «il Gdpr ribalta completamente l’approccio, mettendo il titolare al centro e responsabilizzandolo a dimostrare di aver fatto il possibile per proteggere le proprie informazioni personali». Ci si può tutelare per la gestione dei propri dati affidata a terzi, magari assicurandosi? «Piuttosto che parlare di polizze assicurative a protezione dello storage dei dati, credo sia necessario far riferimento a come il mondo assicurativo si sta muovendo oggi in relazione al rischio nel mondo cyber. Questo è infatti un tema in forte crescita anche se ancora poco maturo. La richiesta da parte del mercato è sicuramente elevata, oggi però il limite maggiore che riscontriamo deriva dall’assenza di dati storici che consentano di stimare il fenomeno in termini statistici, ma anche di valutare in modo sistematico e oggettivo il danno subito da un’azienda a seguito di un incidente informatico. Non esiste ad oggi purtroppo uno standard a cui fare riferimento e quelle aziende «virtuose» che intendono usufruire di tale strumento sono costrette ad accedere ad una contrattazione ad hoc, con il rischio di stipulare accordi incompleti.
Il 70% delle imprese non è in regola
Il report Data Privacy Scorebox di Dla Piper evidenzia una bassa consapevolezza sui problemi di protezione dati in tutte le aziende in ciascuna industry. Su un campione di oltre 200 aziende interpellate, il 70% non è in regola con quanto previsto dalla nuova normativa. Gli ostacoli principali alla conformità sono la classificazione dei dati personali, l’obbligo di archivio dei dati relativi alle esigenze aziendali.
Lanciata un anno fa, l’indagine vuole aiutare le organizzazioni di tutto il mondo a valutare i loro attuali livelli di maturità della privacy, rispetto ai competitor del settore in ciascuna industry. «C’è stato, soprattutto in Italia, un atteggiamento attendista, siamo innanzi ad una rivoluzione culturale. La maggior parte delle aziende è consapevole non solo dei rischi in caso di violazione, ma anche delle grandi opportunità legate alla gestione intelligente dei database», spiega Giulio Coraggio, partner di Dla Piper. Molte imprese non potranno essere pronte su tutto. Ciò che conta è che al 25 maggio ci sia un percorso già avviato, con una valutazione ragionata del rischio. La principale preoccupazione delle aziende riguarda la sicurezza. Sotto questo profilo il Gdrp costituisce un’opportunità, visto che una data governance adeguata contribuisce alla difesa dei sistemi e delle informazioni aziendali. Altri sono preoccupati dalla necessità di stravolgere i processi aziendali, aggiungere burocrazia e controlli inutili. Anche in questo caso, la compliance privacy si deve adattare ai processi esistenti, non viceversa.
Altro punto dolente la selezione e formazione del Data protection Officer (Dpo). «Si sta creando un vero e proprio mercato del Dpo. Al momento non vi è una formazione consolidata e c’è molta improvvisazione. Mi auguro che soprattutto le università riescano a dare una risposta a queste nuove richieste formative. In conclusione, c’è ancora tempo, ma occorre impostare subito il lavoro! La governance privacy non può essere improvvisata: è necessario un approccio multidisciplinare con l’appoggio da parte dei massimi livelli aziendali. Solo così si può intervenire in fretta ed in modo efficace».
Fonte:
