{"id":2577,"date":"2017-03-21T09:10:47","date_gmt":"2017-03-21T08:10:47","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2577"},"modified":"2017-03-21T09:16:11","modified_gmt":"2017-03-21T08:16:11","slug":"gdpr-in-practice","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/03\/21\/gdpr-in-practice\/","title":{"rendered":"Praticamente GDPR"},"content":{"rendered":"

Al Security Summit di quest’anno tutti parlano di GDPR in tutte le sessioni, qualunque sia il tema, ma in concreto cosa stanno facendo le aziende per prepararsi? Da questa domanda ha preso le mosse Alessandro Vallega per introdurre la conferenza dedicata da Europrivacy al nuovo Regolamento europeo, nella seconda giornata del Summit di Milano organizzato dal Clusit.\u00a0Al di l\u00e0 delle sofisticate analisi, che pure sono opportune per capire ed interpretare meglio il Regolamento, alcune cose da fare sono gi\u00e0 chiare: la crittografia dei dati, tanto per dirne una. E’ vero infatti che il GDPR non dice in specifico quali sono le misure di sicurezza da adottare, ma pu\u00f2 essere una buona scusa per fare alcune cose che andrebbero fatte comunque; il Regolamento ci chiede essenzialmente di “farle bene” e di poterlo dimostrare.<\/p>\n

Il “padrone di casa” Gabriele Faggioli ha proposto alcune riflessioni che emergono dalla recente Survey dell’Osservatorio Sicurezza Informatica e Privacy del Polimi: le PMI non sono pronte, sar\u00e0 necessario adottare i Codici di Condotta per metterle in compliance; bisogna prevedere cambiamenti nell’organigramma privacy (eventuale DPO ma anche la scomparsa dei Responsabili interni); la scelta di un DPO interno all’organizzazione sar\u00e0 pi\u00f9 opportuna almeno per le realt\u00e0 complesse, grazie alla sua maggiore vicinanza al business ed ai progetti. Diventa cruciale il tema della responsabilit\u00e0 dei fornitori di servizi: non baster\u00e0 pi\u00f9 al Responsabile esterno dichiarare di rispettare le misure minime ma sar\u00e0 necessario dimostrare l’applicazione corretta dell’art.32.<\/p>\n

Alberto Canad\u00e8 di Spike Reply ha lanciato diversi stimoli per chi sta affrontando la road map di adeguamento al GDPR: per prima cosa non bisogna ragionare in termini di “progetto” ma di un programma di attivit\u00e0 che conduca ad un Sistema di Gestione della Privacy, tenendo ben presente che il nuovo paradigma \u00e8 la reale protezione dei dati e non pi\u00f9 la burocrazia. Volendo fissare 5 priorit\u00e0: essere coscienti del proprio ruolo come titolare (o responsabile); riconsiderare l’organizzazione (serve un DPO?); agire in ottica di accountability (la privacy “dimostrabile”); prepararsi a gestire le richieste degli interessati e i data breach; analizzare eventuali cross-border data flow. Per avere successo bisogner\u00e0 saper coniugare diversi punti di vista interni (Privacy Officer, Compliance Manager, CIO, CSO, CISO ecc.) ed esterni (Garante e clienti). Fra gli errori da evitare: tardare l’awareness del board, avviare iniziative separate senza visione globale, puntare a livelli di dettaglio esasperati, concentrarsi sugli aspetti formali posponendo la IT security, trascurare l’analisi delle attivit\u00e0 che coinvolgono il pubblico, sottovalutare l’importanza di un team skillato e multidisciplinare. Da fare subito l’assessment del parco applicativo: se sar\u00e0 necessario applicare la privacy by design, occorrer\u00e0 poi tempo per farlo. Bisogna anche pensare fin d’ora alla fase 2, che partir\u00e0 da maggio 2018, quando permarr\u00e0 l’importanza delle istanze interne e normative ma cominceremo a dover affrontare le richieste provenienti dall’esterno.<\/p>\n

La tavola rotonda ha permesso di conoscere il punto di vista di diverse esperienze aziendali concrete. Elena Agresti (Global Cyber Security Center) ha presentato i risultati di una survey sulla maturit\u00e0 delle imprese verso il GDPR: per la figura del DPO (che il 50% dei soggetti dichiara di avere gi\u00e0, formalmente o informalmente) saranno richieste competenze su normativa, analisi dei rischi, misure di sicurezza; l’80% ritiene importante una certificazione e gli anni di esperienza; il 50% del campione lo pensa interno, altrettanti esterno.<\/p>\n

Filomena Polito (APIHM) ha esposto la visuale dell’ossevatorio GDPR in ambito sanitario attivato con l’Universit\u00e0 di Pisa: i risultati si avranno nella seconda met\u00e0 dell’anno ma sta gi\u00e0 emergendo una scarsa consapevolezza (come peraltro risulta anche dalla sezione dedicata dal Rapporto Clusit alla Sanit\u00e0). Parte del problema deriva dalla regionalizzazione del sistema sanitario, che sta rallentando l’adozione del FSE nazionale e disperdendo preziose energie. Nel settore pubblico il driver per l’adeguamento sono le direttive ministeriali: per il 196\/2003 ci fu ed ebbe efficacia, per il GDPR la si attende.<\/p>\n

Nel privato invece il driver di spesa \u00e8 il timore di sanzioni e\/o di perdite economiche, come ha ricordato Fabio Gianotti (UBI Banca). Il committment aziendale \u00e8 alto; chi guida \u00e8 il business, supportato dal team di compliance. Il tema all’ordine del giorno non \u00e8 l’acquisto di un prodotto (con buona pace dei vendor) ma la revisione dei processi interni; non serve neanche partire dalla data discovery: le banche sanno gi\u00e0 molto bene che dati trattano e come. Il progetto ricorre anche ad esperti esterni ma il team \u00e8 prevalentemente interno, cos\u00ec come sar\u00e0 anche il DPO.<\/p>\n

Anche per Claudio Brisa (CREVAL) \u00e8 il timore delle sanzioni elevate che muove l’allocazione del budget. Il gruppo di lavoro che \u00e8 stato attivato sta analizzando i processi, con l’obiettivo di integrare attivit\u00e0 gi\u00e0 acquisite (data quality, data governance) mettendole a fattor comune con altre compliance all’interno di un framework.<\/p>\n

Coniugare la privacy con altre compliance \u00e8 anche l’obiettivo citato da Alessandro Crepaldi (BP Sondrio).\u00a0ll tavolo di lavoro attivato (condotto dalla compliance) \u00e8 partito dal Registro dei trattamenti, puntando ad avere un tool automatico. E’ rilevante definire i tempi di conservazione dei dati personali, con il possibile beneficio secondario (ma non trascurabile) di recuperare risorse dalla cessazione di conservazioni inutili.<\/p>\n

Il panorama \u00e8 stato completato da Alessandro Cosenza (BTicino): il suo team \u00e8 partito in ottica di progetto ma \u00e8 cosciente di stare avviando una gestione che diventer\u00e0 continuativa. Il focus \u00e8 sui nuovi prodotti di domotica, e sui dati raccolti attraverso le APP legate ai prodotti, utilizzate dagli utenti finali.<\/p>\n

Un ultimo giro di tavola ha consegnato le raccomandazioni finali:<\/p>\n