GDPR, un anno dopo: la risposta delle aziende

In attesa del primo rapporto ufficiale della Commissione Europea sull’applicazione del Regolamento che arriverà solo nel maggio del 2020, numerosi studi e analisi hanno cercato di testare la trasformazione in atto e la velocità a cui essa sta avvenendo sia dal lato degli utenti sia da quello delle organizzazioni. Sul primo fronte, ad esempio, un sondaggio Eurobarometro diffuso nel maggio scorso ha presentato percentuali interessanti sul grado di consapevolezza dei cittadini sull'esistenza di una nuova normativa, di Autorità nazionali garanti e sulla possibilità di tutelarsi modificando i propri profili social, mentre la conoscenza particolareggiata delle tutele e dei cambiamenti introdotti resta ancora limitata. Sul lato delle organizzazioni, la stessa Commissione Ue in estate ha segnalato come i primi riscontri indicano che la conformità al regolamento ha permesso alle aziende di incrementare la sicurezza e di trovare nel fattore "privacy" un vantaggio competitivo

A testare i passi avanti delle organizzazioni nel trattamento dei dati personali è stato più di recente anche uno studio realizzato da Check Point Software Technologies che ha intervistato un migliaio di CTO, CIO, IT manager e security manager di aziende europee segnalando la “missione compiuta” di una già significativa maggioranza di soggetti (il 60% appunto) e aggiungendo che Italia, Francia e Germania spiccano per il livello di adeguamento alla normativa, mentre in Spagna e Regno Unito serve un’accelerazione. Certamente il quadro complessivamente positivo non mette in secondo piano le 281mila violazioni (secondo le statistiche raccolte dallo European Data Protection Board) sanzionate dall’Unione Europea nei primi 12 mesi dall’applicazione del regolamento, né il caso Google, multata con 50 milioni di euro dall’Autorità francese per la protezione dei dati (Commission Nationale de l’Informatique et des Libertés) per il mancato rispetto degli obblighi previsti nell’informazione degli utenti e nel consenso degli stessi. Sulla totalità dei casi emersi, i tre quarti (144mila) è sono stati originati da reclami e denunce, mentre circa un terzo da notifiche di data breach. Il 63% dei procedimenti nei confronti delle organizzazioni, in base all'aggiornamento diffuso a luglio, è stato completato.

Il tema delle possibili sanzioni rientra, come ovvio, tra i principali motivi di apprensione per le aziende davanti al tema GPDR, ma per i responsabili IT ci sono anche altri temi sul tavolo: l’adozione di processi formali interni efficienti (che assicurino ad esempio la corretta tenuta del registro delle attività di trattamento dei dati o la notifica tempestiva dei data breach ai regolatori); la necessità, richiesta espressamente dalla normativa, di essere in grado di dimostrare la propria compliance ai regolatori; l’ambiguità, secondo le aziende, dello stesso regolamento che non chiarisce quali sia il “ragionevole” livello di protezione da raggiungere. Un altro fattore rilevante sono i costi della compliance e il loro ritorno sull’investimento: per le compagnie, come mostrato da diverse analisi, le risorse impiegate stanno già mostrando benefici in termini di fiducia dei consumatori e sicurezza dei dati. Gli investimenti complessivi sono stati quantificati da quasi un terzo degli intervistati tra le 42 mila e le 128mila sterline, mentre oltre un quarto ha dovuto spendere una cifra superiore alla voce GDPR. 

Dal punto di vista delle soluzioni tecnologiche adottate, l’introduzione del Regolamento che punta a proteggere innanzi tutto i dati personali ha messo sotto i riflettori l’utilizzo delle soluzioni cloud che è stato per lo più incoraggiato e incrementato (sia con il ricorso a infrastruttture pubbliche sia private sia attraverso soluzioni SaaS), ma non è mancata una fetta di società che ha abbandonato tali soluzioni come conseguenza del Regolamento europeo. Altro osservato speciale di questi primi dodici mesi sono le strategie per la sicurezza: come le varie organizzazioni europee le hanno modificate sull’effetto del cambiamento normativo? Nella ricerca “GDPR turns one” di Check Point, due terzi dei manager segnala che la propria azienda ha un approccio organico e strategico alla cybesecurity e che su questo è conseguenza del nuovo Regolamento, ma gli esperti sono piuttosto equamente divisi tra chi osserva che c’è stata una accelerazione nell’approccio olitico alla cybersecurity e chi invece sta privilegiano il “case-by-case”. 

Così come il GDPR ha accelerato la corsa delle aziende per ottenere la compliance sul trattamento dei dati personali, anche i provider di servizi digitali avanzati e le aziende presenti nel mercato del Cloud volendo, non hanno da star fermi. Commissione Europea, Autorità Nazionali e Commissioni per la protezione dei dati infatti hanno spinto affinché ISO e IEC sviluppassero norme e linee guida per fissare nuovi standard in ambito “protezione delle informazioni”. ISO/IEC 27017 e ISO/IEC 27018, che integrano la più conosciuta ISO/IEC 27001,vanno esattamente in questa direzione. L’adeguamento in questo senso farà la differenza per quelle aziende che erogano servizi in SaaS, IaaS e PaaS o che sono Cloud Service Provider e che intendono proporsi come fornitori qualificati della PA. 

Va da sé che i destinatari primari degli adeguamenti sono proprio i provider che offrono servizi software specialistici e infrastrutture Cloud per la Pubblica Amministrazione ma nulla vieta l’allineamento per quelle che intendono fornire ai propri clienti sostanziali garanzie aggiuntive in materia di controllo,sicurezza dei dati trattati e . L’adeguamento alle linee guida è piuttosto impegnativo ma porta con sé importanti vantaggi operativi: dal miglioramento dei livelli di servizio per accessibilità, usabilità e sicurezza; la garanzia sull’interoperabilità dei servizi nell’ambito del modello Cloud della PA e maggiori resilienza, scalabilità e privacy realizzata by design. © Radiocor