DPO e Registro delle attività di trattamento: in Italia c’è ancora molto lavoro da fare

Dal workshop organizzato dal CSI Piemonte è venuto fuori che in tema di GDPR enti pubblici e imprese sembrano muoversi a rilento.

Mancano meno di 240 giorni alla data in cui diventerà operativo il regolamento europeo relativo “sulla protezione dei dati”, meglio noto come GDPR. E nonostante siano passati quasi due anni dalla data della sua pubblicazione sulla Gazzetta ufficiale dell’Unione europea, enti pubblici e imprese sembrano muoversi a rilento.

La ricerca condotta da ESET e IDCI mostra come le aziende private, in particolare le PMI, sino in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza. Tra quelle che conoscono il GDPR, solo il 20% afferma di essere già conforme, mentre il 59% si sta adeguando e il 21% ammette di non essere a norma. Anche sul fronte pubblico, la situazione non sembra migliorare. Proprio con l’intento di fotografare la situazione esistente, il CSI Piemonte ha organizzato il workshop “Privacy: siamo pronti al nuovo regolamento europeo?”.

Il professor Francesco Pizzetti, aprendo la giornata di studio, ha voluto subito sgombrare il campo dagli equivoci: «In inglese si parla di “privacy”, ma è fuorviante. Il regolamento fa riferimento a dati riferibili a persone identificate o identificabili in possesso della Pubblica Amministrazione per la sua finalità istituzionale. Dati che devono essere trattati nei limiti delle funzioni dell’ente, il quale avrà anche l’obbligo di proteggere quei dati. E dunque non stiamo parlando di privacy, ma di un dovere d’ufficio, prima ancora che della tutela di un diritto del cittadino».

Il GDPR avrà un impatto su enti e imprese, non solo dal punto di vista tecnologico, ma anche e soprattutto dal punto di vista organizzativo e legale. Cosa si deve fare, dunque, per arrivare pronti al 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione europea? Le prime linee guida arrivano dal Garante, che ha suggerito alle Pubbliche Amministrazioni tre priorità: la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer); l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate, e la notifica delle violazioni dei dati personali, i cosiddetti Data Breach.

Quest’ultimo punto appare particolarmente delicato: ad oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda ne viene a conoscenza. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore.

Quella della sicurezza è solo una delle molteplici sfide che pone il regolamento europeo, ma è forse quella più critica. Lo scenario di partenza, infatti, non è particolarmente roseo. Il Rapporto Clusit 2017 indica il 2016 come l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e la tendenza non sembra migliorare. Inoltre, nel suo intervento, Andrea Ghirardini, dell’Osservatorio Nazionale informatica Forense, ha raccontato una situazione fortemente deficitaria in tema di cyber security in Italia. «Dalle indagini che conduco con le aziende che mi chiamano per consulenze emerge che la strada da fare è ancora molto lunga. Solo due aziende su 70 hanno un livello di sicurezza accettabile – spiega. Poi aggiunge –. Anzi, solo una; perché l’altra, pur avendo adottato molte precauzioni, alla fine ha candidamente ammesso di avere tutti i dati e la gestione della sicurezza su cloud. A tal proposito mi piace citare il meme: non c’è “Cloud”, è solo il computer di qualcun altro».

Leggi l’articolo originale Le novità sul trattamento dei dati introdotte dal Regolamento europeo in vigore da maggio 2018

Fonte: La Stampa | di Luca Indemini

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL