Come affrontare il nuovo GDPR, una piccola grande rivoluzione nel modo in cui vengono trattati i dati personali ad ogni livello?Achab, azienda specializzata nella distribuzione di soluzioni software a valore, ha organizzato l’evento “GDPR: ultima chiamata” proprio per rispondere alle tante domande ancora senza risposta e soprattutto offrire una serie di spunti pratici sui passi più urgenti da compiere, a 60 giorni dall’entrata in vigore del nuovo regolamento europeo per la protezione dei dati.

In particolare, chi si occupa di servizi IT sa quanto la sua figura sarà fondamentale per le aziende clienti. Il GDPR, infatti, prevede regole e sanzioni molto precise in materia di trattamento delle informazioni e dei dati di privati e imprese. Regole che impattano direttamente sui rapporti cliente/fornitore e le reciproche responsabilità di fronte alla legge.

L’evento, grazie alla partecipazione attiva di un’esperta di diritto informatico come l’avvocato Chiara Magalini, un esperto in sicurezza di fama nazionale comeLuca Bechelliche fa parte del comitato direttivo del Clusit, e alla presenza di alcuni service provider di eccellenza che stanno affrontando la sfida della compliance e delle nuove relazioni con i clienti, ha spiegato in modo chiaro e soprattutto concreto cosa serve fare subito.
I relatori hanno illustrato quali azioni è necessario mettere in campo già ora per evitare le sanzioni, come affrontare le questioni legate al regolamento europeo, su quali strumenti tecnologici e piattaforme contare e come, non da ultimo e non meno difficoltoso, sensibilizzare i clienti.
“Non si tratta di una legge italiana, quindi non possiamo sperare in nessun tipo di rinvio” ricorda l’avvocatoChiara Magalini.
Nessuna deroga temporale, dunque, all’orizzonte, e la data di entrata in vigore del regolamento è davvero dietro l’angolo. Senza scappatoie di nessun genere: “Tutto ciò che nell'ordinamento italiano oggi va contro il regolamento europeo dovrà essere disapplicato”.
Le novità introdotte dal Gdpr sono diverse, una delle più importanti per chi si occupa si fornire servizi IT è la creazione della figura del Data Protection Office (Dpo): “Molto probabilmente le aziende vi chiederanno di essere il loro Dpo perché sono necessarie le vostre competenze tecniche – prosegue l’avvocato Magalini -, ma a queste dovrete aggiungere competenze legali non di poco conto. Dal punto di vista operativo, sarà necessario provvedere alla mappatura dei dati e dei trattamenti per arrivare a creare un vero e proprio registro. Dovrete procedere con un’analisi dei documenti e delle procedure attive per organizzarne la revisione, aggiornare e implementare le misure tecniche IT e anche quelle organizzative senza dimenticare le procedure di gestione dei possibili data breach. Dovrete, inoltre, valutare insieme con il cliente la necessità della creazione del Dpo e, soprattutto, dovrete fare tanta formazione a chi sarà il titolare del trattamento dei dati all’interno dell’azienda”.

L’avvocato Magalini è scesa ancora più nel dettaglio delle “cose da fare” regalando un piccolo vademecum per punti: “Tecnicamente dovrete procedere ad assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento dei dati, dovrete assicurare un ripristino tempestivo della disponibilità e dell’accesso ai dati in caso di data breach e dovrete testare, verificare e valutare regolarmente l’efficacia delle misure concordate con il cliente”.

Nel corso della giornata è anche stato presentato in sintesi la nuova edizione 2018 del Rapporto Clusit sulla Sicurezza ICT in Italia,pubblicato il 14 marzo scorso. Lo ha presentatoLuca Bechelli, information & cyber security advisor di Partners4Innovation e membro del comitato direttivo del Clusit.

“Abbiamo registrato una media di 94 attacchi informatici gravi al mese, +7% rispetto all’anno precedente - spiega Bechelli -. Di questi, il 14% aveva come finalità il cybercrime. Ma è soprattutto dagli attacchi di ordine “comune” che ci dobbiamo guardare perché sono cresciuti del 94%, un’enormità”.
Con l’entrata in vigore del Gdpr, la sicurezza informatica riveste un ruolo di rilievo assoluto: “Oggi manca ancora un approccio orientato ai rischi: pensiamo alle tecnologie da implementare ma non ai rischi informatici che le nostre aziende corrono. Non c’è più tempo, però, per proseguire in questa direzione: abbiamo 67 giorni per iniziare a correre. Perché dopo il 25 maggio, quando accadrà un attacco informatico nell’azienda di cui vi occupate, sarà un problema anche dal punto di vista normativo, non solo pratico”.
Bechelli, però, ha anche la risposta giusta: “Il regolamento europeo ci impone un modello di gestione continuo, che non possiamo più abbandonare una volta creato. L'approccio giusto a ciò che sta per accadere è considerare il regolamento stesso un modello di gestione, solo in questo modo potrete trasformare un problema in un’opportunità di lavoro”.