Cybersicurezza: cambio di regole a maggio 2018

di Eleonora Artese

Tra i temi sul tavolo di Sicurezza 2017, la manifestazione che intende porsi come appuntamento europeo per i professionisti del Bacino del Mediterraneo e dell’Europa dell’Est, non può mancare il quadro delle attività che aziende e pubbliche amministrazioni dovranno mettere in pratica per conformarsi alle nuove norme in materia di cybersicurezza e protezione dei dati. Il GDPR (General Data Protection Regulation), Regolamento Europeo 2016/679, è stato pubblicato sulla Gazzetta Ufficiale il 4 maggio 2016, ma entrerà in vigore dal 25 maggio 2018: le imprese che per quella data non si saranno adeguate incorreranno in sanzioni economiche che potrebbero ammontare fino al 4% del volume totale degli affari aziendali.

Il regolamento abolisce tutta la legislazione precedente in materia, e si rivolge sia alle imprese dell’Unione Europa, sia a quelle che, pur con la sede legale fuori dall’Europa, trattano dati di cittadini europei. Punto chiave del regolamento è l’introduzione di una nuova figura: il DPO (Data Protection Officer), un soggetto esperto in legislazione e protezione dei dati che avrà il compito di monitorare chiunque acceda alle informazioni personali degli utenti, con lo scopo di garantire che questi lo faccia nei limiti e nel rispetto dei poteri conferitagli. Se le aziende pubbliche saranno sempre tenute a nominare un DPO, quelle private ne avranno l’obbligo solo nel caso in cui la loro attività principale consista nel monitoraggio delle informazioni personali.

Il consenso dell’utente, ribadisce il regolamento, dovrà essere esplicito sia per la raccolta sia per la trattazione dei propri dati. Il diritto alla cancellazione e la portabilità dei dati, ossia la possibilità per l’utente di trasferire i propri dati da un sistema elettronico ad un altro, sono i punti ritenuti più critici dalle imprese. Una ricerca SAS (Statistical Analysis System, compagnia fondata nel 1976, quando la domanda del software che utilizza per le analisi statistiche è cresciuta), infatti, ha evidenziato come il 48% delle aziende è in difficoltà nella ricerca dei dati personali in vista di garantirne la totale cancellazione, mentre il 58% riscontra problemi nella portabilità dei dati.

Sempre nell’ambito della ricerca, emerge anche un dato preoccupante in relazione alla conoscenza del regolamento e alla possibilità per le aziende di uniformarsi: meno della metà ha adottato un piano per adeguarsi e molti di quelli che hanno iniziato le procedure dubitano che la messa in regola terminerà in modo da soddisfare tutti i requisiti entro la scadenza prevista. Oltre il 58% delle imprese del settore privato non è consapevole dell’impatto che il regolamento avrà sulla gestione e organizzazione interna, mentre, nella pubblica amministrazione, meno del 60% degli enti locali conosce la natura dei nuovi adempimenti; il 23%, invece, non sa che c’è una nuova normativa sulla privacy. Nonostante ciò, la nuova normativa è giudicata in modo generalmente positivo: il 30% crede che un miglioramento in ambito di sicurezza possa solo giovare all’immagine dell’azienda, e il 29% crede che la soddisfazione dei clienti aumenterà proporzionalmente all’implementazione delle strutture di protezione dei dati.

Il 10 gennaio 2017, è stata avanzata dalla Commissione Europea la proposta di un regolamento integrativo, che affiancherebbe il GDPR, in merito alle comunicazioni elettroniche, allineando le attuali norme a quelle previste dall’altro regolamento, e iscrivendosi in una strategia volta a rafforzare la fiducia e la sicurezza del mercato digitale. Il regolamento proposto si applicherebbe anche alle nuove forme di comunicazione (WhatsApp, Messanger, IMessage, Skype). Inoltre, si semplificherebbe la normativa sui cookie: il consenso non sarà più necessario per quelli il cui obbiettivo è migliorare l’esperienza dell’utente, e saranno vietate le comunicazioni indesiderate, a prescindere dal mezzo utilizzato. Gli stati membri sarebbero lasciati liberi di elaborare, per esempio, una soluzione che conferisca ai consumatori il diritto di opporsi alla ricezione di chiamate a scopo commerciale.