Una giornata seminariale per fornire spunti e suggerimenti a imprenditori e liberi professionisti

GDPR (General Data Protection Regulation) è un acronimo ormai noto a chi ha a che fare con aziende, privacy e dati sensibili. Il 25 maggio, data della sua entrata in vigore definitiva in Italia, è segnato in rosso sul calendario di imprenditori e liberi professionisti, non senza qualche preoccupazione.

Come affrontare questa piccola grande rivoluzione nel trattatamento dei dati personali? Achab, azienda specializzata nella distribuzione di soluzioni software a valore, ha organizzato l’evento “GDPR: ultima chiamata” proprio per rispondere alle tante domande ancora senza risposta, e offrire una serie di spunti pratici sui passi più urgenti da compiere a poco più di 60 giorni dall’entrata in vigore del regolamento europeo. In particolare, chi si occupa di servizi IT sa quanto la sua figura sarà fondamentale per le aziende clienti. Il GDPR, infatti, prevede regole e sanzioni molto precise in materia di trattamento delle informazioni e dei dati di privati e imprese. Regole che impattano direttamente sui rapporti cliente/fornitore e le reciproche responsabilità di fronte alla legge.

L’evento – grazie alla partecipazione di un’esperta di diritto informatico come l’avvocato Chiara Magalini, un esperto in sicurezza di fama nazionale come Luca Bechelli (parte del comitato direttivo del Clusit) e alla presenza di alcuni service provider che stanno affrontando la sfida della compliance e delle nuove relazioni con i clienti – ha spiegato in modo chiaro e concreto cosa occorre fare subito. Di fronte ad un pubblico composto da professionisti e fornitori di servizi IT, i relatori hanno illustrato quali azioni è necessario mettere in campo già ora per evitare le sanzioni, come affrontare le questioni legate al regolamento europeo, su quali strumenti tecnologici e piattaforme contare e come, non da ultimo e non meno difficoltoso, sensibilizzare i clienti.

“Non si tratta di una legge italiana, quindi non possiamo sperare in nessun tipo di rinvio” ricorda l’avvocato Chiara Magalini. Nessuna deroga temporale, dunque, all’orizzonte, e la data di entrata in vigore del regolamento è davvero dietro l’angolo. Senza scappatoie di nessun genere: “Tutto ciò che nell’ordinamento italiano oggi va contro il regolamento europeo dovrà essere disapplicato”. Le novità introdotte dal GDPR sono diverse, una delle più importanti per chi si occupa si fornire servizi IT è la creazione della figura del Data Protection Officer (DPO): “Molto probabilmente le aziende vi chiederanno di essere il loro Dpo perché sono necessarie le vostre competenze tecniche – prosegue l’avvocato Magalini -, ma a queste dovrete aggiungere competenze legali non di poco conto. Dal punto di vista operativo, sarà necessario provvedere alla mappatura dei dati e dei trattamenti per arrivare a creare un vero e proprio registro. Dovrete procedere con un’analisi dei documenti e delle procedure attive per organizzarne la revisione, aggiornare e implementare le misure tecniche IT e anche quelle organizzative senza dimenticare le procedure di gestione dei possibili data breach. Dovrete, inoltre, valutare insieme con il cliente la necessità della creazione del DPO e, soprattutto, dovrete fare tanta formazione a chi sarà il titolare del trattamento dei dati all’interno dell’azienda”. L’avvocato Magalini è scesa ancora più nel dettaglio delle “cose da fare” regalando ai service provider in sala (oltre 150 le presenze all’evento organizzato da Achab) un piccolo vademecum per punti: “Tecnicamente dovrete procedere ad assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento dei dati, dovrete assicurare un ripristino tempestivo della disponibilità e dell’accesso ai dati in caso di data breach e dovrete testare, verificare e valutare regolarmente l’efficacia delle misure concordate con il cliente”.

Nel corso della giornata è anche stata presentata in sintesi la nuova edizione 2018 del Rapporto Clusit sulla Sicurezza ICT in Italia, pubblicato il 14 marzo scorso. Lo ha presentato Luca Bechelli, information & cyber security advisor di Partners4Innovation e membro del comitato direttivo del Clusit. “Abbiamo registrato una media di 94 attacchi informatici gravi al mese, +7% rispetto all’anno precedente – spiega Bechelli -. Di questi, il 14% aveva come finalità il cybercrime. Ma è soprattutto dagli attacchi di ordine “comune” che ci dobbiamo guardare perché sono cresciuti del 94%, un’enormità”. Con l’entrata in vigore del GDPR, la sicurezza informatica riveste un ruolo di rilievo assoluto: “Oggi manca ancora un approccio orientato ai rischi: pensiamo alle tecnologie da implementare ma non ai rischi informatici che le nostre aziende corrono. Non c’è più tempo, però, per proseguire in questa direzione: abbiamo 67 giorni per iniziare a correre. Perché dopo il 25 maggio, quando accadrà un attacco informatico nell’azienda di cui vi occupate, sarà un problema anche dal punto di vista normativo, non solo pratico”. Bechelli, però, ha anche la risposta: “Il regolamento europeo ci impone un modello di gestione continuo, che non possiamo più abbandonare una volta creato. L’approccio giusto a ciò che sta per accadere è considerare il regolamento stesso un modello di gestione, solo in questo modo potrete trasformare un problema in un’opportunità di lavoro”.