La protezione dei dati personali riguarda la libertà individuale nonché la sicurezza delle persone, delle comunità e dei sistemi economici e, solo di riflesso, la privacy ovvero il diritto alla riservatezza nella propria sfera privata. 

Il diritto alla tutela dei dati personali, che va contemperato con altri diritti fondamentali (primo fra tutti la trasparenza), ha un significativo impatto sulle aziende in termini organizzativi, informatici e di conformità normativa.

Il management aziendale, deve valutare diversi tipi di rischi legati all’acquisizione, al trattamento, all’utilizzo e alla perdita di dati con particolare riferimento a quelli sensibili. Questo porta immediatamente a pensare che tutte le aziende che operano nell’e-commerce, o che gestiscono dati sanitari o informazioni patrimoniali, o che trattano dati personali e magari li trasmettono a terzi (a maggior ragione se all’estero) saranno fortemente impattati da questo cambio di paradigma normativo. Ma attenzione, sostanzialmente tutte le aziende trattano dati personali, a partire da quelli dei propri dipendenti.

Un rischio sostanziale per le aziende che recepiscono il GDPR (General Data Protection Regulation) è di concentrarsi sulla fase di raggiungimento del livello di conformità, trascurando l’opportunità di intervenire sui processi aziendali, sulla competenza e la responsabilizzazione delle persone nonché sul rafforzamento dei sistemi. In altri termini è l’occasione per integrare (o implementare) un sistema atto a gestire tali rischi e mitigare le possibili conseguenze, per esempio attraverso:

Il GDPR prevede l’assegnazione di responsabilità a soggetti diversi nonché un sistema sanzionatorio pecuniario e correttivo, cioè un idoneo strumento di ripristino del patrimonio giuridico dell’interessato/danneggiato “Chiunque subisca un danno materiale o immateriale causato da una violazione […] ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ciò porta le aziende a tutelarsi con un sistema formalmente corretto.

Le sanzioni pecuniarie possono arrivare fino a 10 milioni di euro (o fino al 2% del fatturato annuo globale) dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo e fino a 20 milioni di euro (o fino al 4% del fatturato annuo globale), per inosservanza dei principi di base del trattamento, comprese: le condizioni relative al consenso; dei diritti degli interessati; dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri, per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo.

Le sanzioni correttive che prevedono anche l’intervento diretto sui trattamenti, situazione che potrebbe comportare l’interruzione di un servizio verso i clienti, con evidente e immediato danno economico e reputazionale particolare rilevante.

L’abolizione delle misure minime di sicurezza, ossia di un set predefinito di contromisure (prevalentemente tecnologiche), finalizzate a contrastare i rischi sui dati personali, può apparire una semplificazione rispetto alla normativa vigente. In realtà è una delle spine nel fianco dei titolari dei trattamenti. Tali misure rappresentano, infatti, una rete di sicurezza che viene meno e aumenta il rischio di sottostimare le minacce e di adottare misure di sicurezza inadeguate.

Le conseguenze di ciò sarebbero dirette e indirette. Ad esempio una mancata o insufficiente implementazione di un efficace sistema antivirus o di back-up sarà direttamente sanzionabile, come abbiamo già visto, dall’Autorità Garante. Ma le conseguenze dirette, seppur rilevanti, potrebbero essere ampiamente superate da quelle indirette, ovvero derivanti da danni reputazionali. Infatti, una rilevante novità contenuta nel GDPR è la cosiddetta data breach notification, ossia l’obbligo, per l’impresa, di autodenunciarsi al Garante (entro 72 ore) in caso di violazione dei dati degli interessati e, in alcuni casi, di segnalare la violazione agli interessati stessi. In altri termini oggi veniamo informati della perdita di dati a distanza di mesi e solo dopo che l’azienda ha posto in atto una serie di contromisure. Domani le aziende dovranno dichiararsi entro tre giorni, con evidenti conseguenze dannose e con il rischio di rendere pubblica la notizia di una rete di sicurezza inadeguata e vulnerabile dalle principali minacce informatiche in circolazione. Attenzione a considerare questo un problema secondario se pensiamo che, secondo i principali produttori di antivirus, i “ransomware” (virus in grado di criptare i dati rendendoli inutilizzabili e che richiedono il pagamento di un riscatto per potervi accedere di nuovo) hanno contagiato il 21% delle imprese nel 2017.

È quindi di tutta evidenza che la normativa sulla protezione dei dati personali richiede un approccio interdisciplinare e l’intervento di persone con preparazione tecnica e professionale di alto livello e differenziata. Un team capace di supportare l’azienda a raggiungere il livello di conformità richiesto entro il 25 maggio prossimo e che progetti e realizzi l’integrazione nel sistema di gestione aziendale dei requisiti organizzativi, legali e informatici richiesti senza appesantire l’operatività aziendale e mitigando i rischi.

Tale intervento non può prescindere dalla conoscenza dell’organizzazione dell’azienda; da una robusta analisi dei rischi; dallo studio di possibili contromisure per mitigare, trasferire, accettare o non esporsi al rischio; dall’assumere decisioni sulle contromisure e sulla loro attuazione; dal formare le persone; dal verificare la bontà degli interventi posti in essere; dall’attuare processi di miglioramento.

Allo sviluppo del business il manager deve aggiungere le competenze per ridurre i rischi della General Data Protection Regulation che entra in vigore il prossimo maggio; meglio prevenire che essere sanzionati.