Il General Data Protection Regulation, o più comunemente GDPR, entrerà in vigore il 25 Maggio 2018, ovviamente in tutti i Paesi membri, con l’importante obbiettivo di unificare la normativa a riguardo della protezione dei dati.
La prima, importante, variazione dal passato, è nell’estensione di giurisdizione non solo in relazione alla localizzazione geografica aziendale o del luogo ove avvenga effettivamente il trattamento, quanto già soloper il trattare dati personali di soggetti risiedenti nell’Unione.
La nuova normativa, arrivando come revisione di una precedente del 1995, introduce numerose novità sia riguardanti aspetti concettuali, ad esempio introducendo nuove figure come il DPO, o Data Protection Officer, sia tecniche, come le tematiche sulla Data Protection, particolarmente e non positivamente famose negli ultimi tempi con gli attacchi di tipo crypto e Ransom Ware.
Sarà presto necessario impattare sui processi aziendali, modificando e formalizzandone più esplicitamente organizzazione e ruoli, diffondendo la cultura della protezione dei dati e delle policy.
Grandi modifiche sono previste anche sui processi aziendali, ad esempio attraverso il nuovo concetto di “Privacy By Design”, che richiede vi sia una attenta e ordinata pianificazione delle misure di protezione.
La “Breach Notification”, invece, prescrive alle aziende di comunicare tempestivamente(non oltre le 72 ore) la rilevazione di attacchi informatici che potrebbero aver violato la sicurezza di dati.
E’ importante notare le ripercussioni, in tal senso, sull’attuale (falsa) percezione positiva attenente la sicurezza digitale di molte banche dati cruciali come quelle delle banche e assicurazioni, da parte dei consumatori: sarà importante lavorare nel mantenimento della fiducia per poter ottenere, a monte, il consenso sul trattamento.
Malgrado, da stima Gartner, oltre il 50% delle aziende potrebbe avere delle lacune nella piena conformità alla normativa, l’aspetto sanzionatorio include multe con importi fino a 20 milioni di euro o 4% del fatturato, in relazione a quale maggiore.
Il tempo non è dunque troppo per migliorare, nella propria azienda, per renderla GDPR compliant, affidandosi ad esperti nel settore. In verità, con un approccio proattivo, ciò non dovrebbe destare preoccupazione, anzi, strategicamente ed in forma elastica, è possibile vedere la GDPR come un’opportunità per guadagnare una posizione centrale nella raccolta delle informazioni sensibili.
Non dimenticando come la raccolta e lo scambio di informazioni, ad esempio i servizi Cloud di Amazon, siano un lampante esempio di economia digitale e future-proof al quale ogni azienda potrebbe voler aspirare.