La digitalizzazione riguarda ormai in maniera crescente ogni aspetto della vita sociale ed economica del nostro Paese e l’Unione Europea e le istituzioni a livello nazionale non restano a guardare: il GDPR (General Data Protection Regulation – Regolamento Europeo 2016/679) entrerà in vigore tra un anno esatto, il 25 maggio 2018.
Da un lato, la mole di dati disponibili in rete (i cosiddetti “big data”) cresce inesorabilmente, di pari passo con la necessità di connessione a tutti i livelli. Istituzioni ed enti, aziende, professionisti, privati cittadini (e perfino elettrodomestici di uso quotidiano!) sempre più condividono informazioni in rete, che necessitano di essere regolamentate. Dall’altro, il “mercato” è talmente appetibile, che una schiera nutrita di criminali ha messo in piedi con relativa semplicità vere e proprie “cyber-organizzazioni” competenti, alimentando una “industria del crimine” dedita al furto dei dati, che può contare su economie di scala: il ransomware Wanna Cry, che recentemente ha infettato centinaia di migliaia di computer in tutto il mondo, è solo l’esempio più recente. In poche parole, nessuno oggi può ritenersi escluso dal rischio di potenziali attacchi informatici, e tale rischio va gestito.
GDPR, perché riguarda tutti
Le organizzazioni sono chiamate ad adeguarsi al nuovo regolamento per la protezione dei dati che richiede un percorso molto rigoroso, come abbiamo già anticipato, e coinvolge senza dubbio l’azienda nella sua complessità: dalle tecnologie alle metodologie, ai processi. Non si tratta cioè di una questione che riguarda soltanto il dipartimento di Information Technology o il Responsabile del Trattamento dei dati, ma arriva a comprendere quello che – al di là delle policy aziendali – per certi versi può essere considerato “l’anello debole” della catena, ovvero il singolo dipendente, che diviene un nuovo soggetto interlocutore nel percorso di compliance normativa. Pensiamo, per esempio, che il GDPR stabilisce (Art. 4) l’obbligatorietà entro 72 ore della comunicazione al Garante dell’eventuale “data breach” – ovvero della “violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”. E’ solo una delle novità, che tuttavia rende da sola una prima idea dell’impegno richiesto per la compliance alla normativa europea, a fronte di dati poco confortanti che ci dicono che il 97% delle imprese non ha un piano per essere conforme al GDPR.
Non solo sanzioni per mancata compliance al GDPR
D’altra parte, riteniamo che il tema vada affrontato con serietà e metodo almeno per due ragioni:
- le sanzioni, comminabili fino a un valore pari al 4% del fatturato aziendale;
- il valore delle relazioni aziendali con partner, fornitori e clienti finali, nonché della reputazione della stessa organizzazione, che possono essere messe fortemente in crisi a seguito di una semplice leggerezza nella protezione dei dati. A questo proposito, evidenziamo che nel GDPR viene specificatamente riconosciuto il “Diritto al risarcimento” ( 82), che può essere perseguito con il ricorso a causa civile. E, dati i numeri potenzialmente in gioco, non appare remota anche l’ipotesi della “class action”.
E’ tempo quindi di iniziare a valutare lo stato della vostra organizzazione a fronte dell’obbligatorio adeguamento al nuovo regolamento europeo per la protezione dei dati. Contattateci per un approfondimento.