Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

le regole

Impatto del GDPR sulle piccole e medie imprese: il buono, brutto e il cattivo

Dal GDPR vengono novità positive per gli utenti in termini di tutela e controllo dei dati, ma anche criticità per le imprese medio-piccole, ancora non del tutto pronte ad applicarne le previsioni e i significativi cambiamenti organizzativi. Ecco come fare per non temere la nuova normativa

25 Mag 2018

Francesca Spidalieri

Sr. Fellow for Cyber Leadership at Pell Center, Co-PI for the CRI 2.0 at Potomac Institute, Associate at Hathaway Global Strategies LLC


L’era digitale ha portato con sé una nuova consapevolezza sul trattamento dei dati personali e della privacy e, oggi, ogni azienda che faccia uso di tecnologie dell’informazione e comunicazione (ICT) e Internet per raccogliere, processare, comunicare e condividere dati non può ignorare i rischi di violazioni della privacy, attacchi cyber e altre minacce informatiche.

Rischi cyber, minaccia “esistenziale” per le aziende

Infatti, i rischi cibernetici riguardano tutti i settori e possono rappresentare una minaccia “esistenziale”, specialmente per le aziende più piccole che hanno risorse limitate ed hanno costruito il loro business su una sola linea di prodotti o servizi. In risposta all’alto numero di “data breach” degli ultimi anni, l’Unione Europea (UE) ha aggiornato le vecchie normative in materia di protezione di dati personali, alzando gli standard – e anche le sanzioni in gioco – per la protezione della privacy e rafforzando le regole per le aziende che gestiscono grosse quantità di informazioni personali. Recenti avvenimenti, come lo scandalo Facebook-Cambridge Analytica, mostrano con chiarezza le ragioni per cui regolamentazioni più stringenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE, sono necessarie per prevenire futuri attacchi, dare agli utenti maggior accesso e controllo sui loro dati e, infine, sanzionare coloro che non proteggono adeguatamente i dati che raccolgono e da cui ottengono profitto.

Il buono del GDPR: più controllo sui dati

Il GDPR – adottato dal Parlamento Europeo il 24 aprile 2016 e vigente dal 25 maggio 2018 – richiederà alle imprese di effettuare cambiamenti significativi nei loro programmi di sicurezza, nel loro modo di processare informazioni personali e di gestire le loro infrastrutture ICT per assicurare la giusta cura, custodia, controllo e protezione dei dati che hanno origine nell’UE, come anche la protezione del diritto alla privacy per gli individui. Il GDPR punta in primis a rafforzare la protezione della privacy, a dare ai cittadini ed ai residenti europei il controllo sui propri dati e a semplificare la cornice regolativa per gli enti che operano in UE. La nuova normativa si applicherà a qualunque ente abbia una presenza in UE e stabilisce regole precise per chiunque gestisca, raccolga, conservi, trasferisca o dissemini dati sui cittadini europei.

I nuovi principi fondamentali del GDPR

  • Distinzione e precisazione dei ruoli e delle responsabilità tra coloro che controllano i dati (individuo/compagnia che prende decisioni sulle attività di processione dei dati, il cosiddetto ‘titolare del trattamento’ o ‘data controller’) e coloro che processano i dati (individuo/compagnia che stipula un accordo con il controllore per gestire e raccogliere i dati, il cosiddetto ‘responsabile del trattamento’ o ‘data processor’).
  • Estensione della portata della definizione di “dati personali” includendo nomi, contatti, numeri e luoghi dei documenti d’identità, come anche gli indirizzi IP, cookies e transazioni digitali.
  • Assegnazione del ruolo di Autorità di protezione dei dati personali ad un unico garante per stato membro, che sarà responsabile dell’applicazione del GDPR e dell’obbligo per tutte le aziende di notificare qualsiasi data breach ai consumatori (e di riportare il fatto all’autorità garante competente) entro 72 ore dalla sua scoperta.
  • Riconoscimento del diritto degli utenti di accedere alle proprie informazioni memorizzate o rilasciate in precedenza, di ottenere tali informazioni in un formato scritto in chiaro e facilmente trasferibile e poterle trasferire ad un altro controllore di dati.
  • Aumento delle sanzioni per l’inadempienza alle prescrizioni del GDPR relative, in particolare, alla protezione dei dati e alla notifica di possibili data breach sino a:
    • 10 milioni di euro ($12 milioni) o il 2% del fatturato totale annuo della compagnia in caso di violazioni, e
    • 20 milioni di euro ($24 milioni) o il 4% del fatturato totale annuo della compagnia per violazioni più serie.

Il brutto del GDPR: l’impatto sulle piccole imprese

Molti studiosi, avvocati specializzati, ed esperti di privacy si chiedono se il GDPR rappresenti effettivamente una normativa utile ad identificare con chiarezza (e proteggere) ciò che costituisce i dati personali di un individuo, così come i titolari di imprese – specialmente se di piccole dimensioni – dovranno affrontare le difficoltà e i costi per il Gdpr, derivanti dalla necessità di adeguarsi ai cambiamenti organizzativi e procedurali richiesti dalla nuova normativa. Gli obblighi di segnalazione e notifica di attacchi cyber, per esempio, potrebbero determinare in concreto l’obbligo di trasmettere alla propria Autorità garante e altri possibili referenti (“points of contact”) per ogni Stato membro di un gran volume di informazioni (percepite in 24 lingue diverse!) che potrebbero non essere gestite agevolmente da una piccola azienda con risorse e capacità limitate.

GDPR, quanto costa a una pmi adeguarsi (e come ottimizzare la spesa)

L’impatto del GDPR sugli investimenti in innovazione

La necessità di apportare cambiamenti organizzativi rilevanti potrebbe, al limite, anche significare che un’azienda debba ritardare o perfino rinunciare ad investire nello sviluppo di nuove tecnologie e prodotti, dal momento che avrà bisogno di investire budget, tempo e sforzi extra per adempiere ai nuovi obblighi di consenso per il trattamento dei dati, mappatura dei dati e trasferimento transnazionale delle informazioni personali. Ciò potrebbe, peraltro, richiedere di trasferire considerevoli risorse dalle spese in ricerca e sviluppo agli investimenti necessari per assicurare il rispetto di questi nuovi obblighi.

Sebbene si possa sostenere che gli obiettivi fissati dal GDPR non siano del tutto realistici e che lo stesso Regolamento sia stato redatto da politici e tecnocrati al Parlamento Europeo in reazione alla crescita in numero, ampiezza e rilevanza delle violazioni di dati e privacy degli ultimi anni, piuttosto che da esperti di privacy e sicurezza ICT, le aziende che vogliono continuare ad operare in Europa dovranno comunque confrontarsi con i nuovi obblighi.

Il cattivo del GDPR

Piccole e medie imprese sono tutt’altro che preparate al GDPR e avranno sicuramente difficoltà ad applicarne le previsioni, specialmente se non hanno le risorse e le capacità necessarie a creare programmi dettagliati per la sicurezza e la privacy. Uno sguardo veloce alla maggior parte dei blog e dei forum di informazione sul GDPR mostra che molte PMI non hanno una chiara visione e comprensione del Regolamento, né, del resto, sembrano consapevoli di essere soggetti ai nuovi obblighi del GDPR (si veda, ad esempio, la conversazione sul GDPR su linkinfluence.blog). E’ bene precisare, sul punto, che tutte le aziende che detengono dati personali su consumatori europei devono essere in grado di dimostrare che hanno aggiornato i loro termini di servizio e politiche sulla privacy per essere in linea con il GDPR o essere pronti a pagare pensanti sanzioni.

Quattro semplici regole per non temere il GDPR

Nonostante le imperfezioni e i limiti del GDPR, le PMI non dovrebbero temere questa normativa e invece essere realiste riguardo alle proprie capacità e proattive nel migliorare i loro programmi di sicurezza, pur sempre mantenendosi all’interno dei parametri del budget a loro disposizione.

  • Innanzitutto, ogni organizzazione dovrebbe essere consapevole del tipo di informazioni (ad esempio, “personally identifiable information,” “protected health information,” “credit card information,” ecc.) che detiene, raccoglie e processa, di dove conserva tali dati, chi ne ha accesso e come vengono protetti.
  • Secondo, le imprese o altre organizzazioni dovrebbero capire meglio i rischi cyber cui sono esposte; fare una valutazione delle loro misure tecniche e politiche di sicurezza esistenti – inclusa la loro strategia di risposta agli incidenti ed i piani di continuità di business dopo un’interruzione; allocare le risorse umane e finanziarie in maniera appropriata per minimizzare i rischi cibernetici; e assicurarsi che tutti i dipendenti siano preparati e aggiornati sul GDPR e sulle modalità di protezione dei dati dei consumatori e di segnalazione delle eventuali violazioni.
  • Terzo, dovrebbero essere in grado di dimostrare ‘due-diligence’ nella filiera e certificare che tutti i loro fornitori e gli appaltatori siano conformi con il GDPR per evitare che questi terzi diventino la causa di un incidente informatico (“third-party breach”).
  • Infine, una semplice regola generale: se non è necessario ottenere e conservare tutti i dati personali possibili relativi ai propri consumatori per legittime ragioni di affari, è meglio non raccoglierli proprio o cancellarli appena il loro trattamento non è più necessario.

Uno degli aspetti positivi di questa normativa è costituito dal fatto che il GDPR rappresenta uno standard rivoluzionario per un efficace sistema di protezione dei dati dalle minacce informatiche e tutela delle proprie informazioni personali, e che altri paesi potrebbero decidere di seguire in futuro l’esempio europeo.

Per altri suggerimenti ed informazioni sulle best practices di sicurezza cibernetica per PMI, si veda il mio articolo: Understanding Cyber Threats – Lessons for the Executive Team.

Articolo 1 di 3