GDPR: un bilancio dei primi sei mesi

Opportunità o mero obbligo? F5 Networks dice la sua

A cura di Maurizio Desiderio, Country Manager di F5 Networks Italia & Malta

Sei mesi fa entrava in vigore il Regolamento Generale sulla Protezione dei Dati, ampiamente considerato come il più grande cambiamento nel panorama della protezione dei dati avvenuto in Europa da oltre 20 anni, e che si inserisce in uno scenario odierno di profonda trasformazione, che vede l’economia delle applicazioni in piena espansione.

Tra dubbi e perplessità legate alla complessità della disciplina e all’adeguamento nazionale, giunto a compimento dopo il lungo iter legislativo del decreto di armonizzazione il 19 settembre scorso, le aziende italiane pubbliche e private si sono mosse rapidamente per soddisfarne i requisiti e non rischiare di incorrere in sanzioni.

Le aziende del nostro Paese, in generale, hanno capito l’importanza di adeguarsi al nuovo quadro normativo. Secondo i dati del Garante per la protezione dei dati, in Italia nei primi 4 mesi di GDPR oltre 40mila organizzazioni pubbliche e private hanno comunicato all’Autorità i dati di contatto del proprio DPO.

Inoltre, dal 25 maggio ci sono state più di due notifiche al giorno riguardanti dati persi, modificati o divulgati senza autorizzazione e che hanno visto il coinvolgimento di più di un milione di cittadini. Una cifra che fa riferimento però solo alla metà delle 305 notifiche ricevute dall’ufficio del Garante italiano.

Perché Il GDPR è un processo continuo

Per le imprese e i professionisti che sono chiamati ad applicare in tutte le fasi del trattamento dei dati il principio della accountability (responsabilizzazione), adeguarsi al GDPR significa ottemperare a numerosi obblighi attraverso l’attuazione di precise attività. La difficoltà maggiore, infatti, è che non basta “mettere una crocetta” sul GDPR, l’adeguamento è un percorso complesso, che ha avuto un avvio e ora procede con rapidità ma senza mai terminare del tutto.

Molti pensavano che la designazione del responsabile esterno fosse di per sé sufficiente, che quindi bastasse designare tutte le società che trattavano i dati mandando loro le lettere di incarico per essere conformi. Decisamente non è così, perché garantire la compliance al GDPR implica attivare verifiche continue e promuovere audit costanti.

Ancora oggi, a mio avviso, gli aspetti maggiormente critici nell’adeguarsi alla normativa consistono nella capacità di calare nella realtà un modello organizzativo su carta, realizzato in vista della scadenza del 25 maggio, traducendolo in misure concrete nel quotidiano, e considerando tali misure come parte di un approccio aziendale completo, che coinvolga dipendenti e processi, perché la tecnologia da sola non basta a rendere un’azienda conforme al GDPR.

GDPR onere o opportunità

La scelta migliore per le organizzazioni è adottare un approccio basato sul rischio e implementare fin da subito solidi controlli per proteggere le informazioni personali e sensibili ed evitare pesanti sanzioni pecuniarie.

Se in una prima fase le aziende hanno percepito gli oneri legati all’adeguamento alla normativa e i rischi dovuti alla non ottemperanza, credo che nel tempo aumenterà la loro consapevolezza di come questo regolamento rappresenti una leva positiva, perché servirà a tutti per comprendere l’importanza di prestare maggiore attenzione al bene più importante delle aziende: i dati.

È vero, il GDPR è un impegno consistente per le aziende, perché devono continuare a essere conformi a una legislazione che verrà progressivamente complicata dalla crescente influenza delle tecnologie, come il cloud computing o l’Internet of Things, ma riuscire a differenziarsi grazie a best practice migliori e all’offerta di servizi percepiti come sicuri e affidabili dai consumatori rappresenterà sempre più un’opportunità di crescita concreta.

I consumatori attenti alla tecnologia vorranno essere associati solo ai gestori di dati più affidabili, daranno fiducia e intraprenderanno relazioni più solide con i clienti e apriranno la strada all’introduzione di nuovi servizi innovativi.

Ma il GDPR non sarà sufficiente

Il GDPR è un regolamento fondamentale per garantire un terreno di gioco comune a livello globale, al centro del quale oggi troviamo la gestione dei dati.

Anche se abbiamo a che fare con la normativa più completa e vasta mai pensata fino ad oggi, in uno studio recentemente realizzato da F5 Network (The Future of Multi-Cloud) emerge chiaramente come nel lungo termine questa regolamentazione si rivelerà insufficiente e come, entro cinque anni, sarà necessario adottare uno standard globale per la protezione dei dati.

La complessità legislativa in un mondo digitale senza confini rappresenta, infatti, una delle maggiori sfide che i governi di tutto il mondo si trovano ad affrontare e richiederà una forte e rapida azione collaborativa tra aziende e governi.

Con l’inizio del 2019 credo ci possiamo aspettare altre novità normative dall’Europa, e non solo, in un contesto nel quale la tecnologia avanza e il trasferimento dei dati sarà sempre più facile. Iniziamo, ad esempio, ad assistere a un forte fermento normativo anche negli Stati extra UE che stanno valutando se adottare regolamenti ad hoc per applicare procedure simili al GDPR o avvicinarsi in qualche modo alla definizione di uno standard globale comune per la protezione dei dati.

Anche dal punto dell’evoluzione dell’attuale GDPR dovremo aspettarci cambiamenti, perché, se è vero che da una parte le tecnologie del futuro, come l’Intelligenza Artificiale o il Machine Learning, dovranno evolversi in uno scenario di tutela dei diritti dei dati dei cittadini che non ha precedenti, è anche vero che il GDPR, per definizione, dovrà continuare a introdurre regole di gioco “tecnologicamente neutrali” e indipendenti da come l’ambiente digitale potrà svilupparsi in futuro.

Mentre questo processo di evoluzione prosegue rapidamente in entrambe le direzioni, le aziende italiane devono modificare il proprio approccio alla sicurezza e alla protezione dei dati per continuare a essere conformi alla legislazione esistente e per coglierne il vero valore.