Protezione dei dati: i falsi miti sul GDPR

Giu 22, 2017 Marco Schiaffino Approfondimenti, In evidenza, Privacy, Prodotto, RSS, Scenario, Tecnologia 0

Manca meno di un anno all’entrata in vigore del nuovo regolamento europeo, ma su alcuni aspetti della norma c’è ancora molta confusione. RSA: “niente panico”.

Un fantasma si aggira per l’Europa, riassunto in una sigla che sta facendo perdere il sonno a molti esperti di sicurezza: GDPR. Si tratta del Regolamento Generale sulla Protezione dei Dati, la nuova normativa che dal maggio 2018 si applicherà a tutte le aziende e che prevede anche una serie di obblighi nella gestione della sicurezza informatica.

Obblighi riguardo i quali sembra ci sia ancora una certa confusione e che esperti e specialisti hanno provato a mettere a fuoco nel corso dell’RSA Summit tenutosi a Roma la scorsa settimana.

Un viaggio nel nuovo regolamento che è bene cominciare proprio dallo smantellamento dei “falsi miti” che negli ultimi mesi hanno cominciato a fare la loro comparsa e che rischiano di creare confusione (e anche qualche pericoloso fraintendimento) tra chi dovrà necessariamente avere a che fare con la nuova normativa.

A sfatare le “leggende metropolitane” sul GDPR ci ha pensato l’avvocato Luca Bolognini, che davanti a una platea interessata (e anche divertita) ha chiarito per prima cosa che non è prevista la creazione di un nuovo corpo di polizia con sede a Bruxelles deputato a indagare su eventuali violazioni del regolamento.

Un discorso simile vale per le sanzioni a cui possono andare incontro le aziende che vengono “beccate” per inadempienze nei confronti del regolamento europeo. Non si tratterebbe di una multa “fissa” del 4% degli utili dell’azienda, bensì di una multa che può variare, ma che ha come massimo il 4% del fatturato del “colpevole”.

Attenzione anche ai confini del regolamento. Sebbene il GDPR fissi una base comune per tutte le nazioni dell’Unione Europea, non stiamo parlando di una vera omogeneizzazione. “Ogni paese può prevedere ulteriori norme su aspetti specifici” avvisa Bolognini. “Sta all’azienda informarsi e adattarsi nel caso in cui abbia attività per cui è necessario prevedere obblighi specifici”.

Il tema dell’adeguamento al GDPR ha caratterizzato buona parte dell’RSA Summit di Roma. Tanti gli interventi e i contributi sul tema, ma anche i dubbi degli operatori che si trovano ad affrontare l’entrata in vigore del regolamento.

Importante, infine, chiarire il fatto che non c’è alcun legame diretto tra sanzioni e l’eventuale furto di dati subito da un’azienda. “Ciò che viene sanzionato è la mancata ottemperanza alle best practices richieste dal GDPR” precisa Bolognini. “Questo significa che un’azienda può essere sanzionata anche in assenza di furti di dati, mentre una società che visi attiene può non incorrere in alcuna sanzione anche se subisce una violazione”.

In pratica, il cuore del regolamento è il seguente: attenersi alle linee guida e, soprattutto, predisporre tutti gli strumenti necessari per fare in modo che sia sempre possibile dimostrare di aver fatto tutto in maniera corretta. Se vogliamo trovare una parola chiave per definire il GDPR, secondo Bolognini, questa parola chiave è proprio “dimostrare”.

(Continua a pagina 2)

Condividi l'articolo

Pagine

GDPR, RSA

Il codice sorgente del cuore di Windows 10 è stato rubato e pubblicato CIA Leaks: con Brutal Kangaroo gli agenti colpiscono i PC scollegati dalla rete