A colloquio con Alberto Redi, Managing Partner di Security Lab Sagl, azienda di riferimento in Ticino da più di dieci anni per i servizi di cybersecurity
Sig. Redi, si parla molto di questa nuova incombente regolamentazione Europea sulla privacy, il GDPR. Di cosa si tratta esattamente?
Il GDPR (General Data Protection Regulation) è una nuova legge Europea finalizzata ad armonizzare le singole vecchie leggi sulla privacy dei vari stati membri, ed adattarle al contesto estremamente liquido dei nostri tempi, dove le informazioni sono raccolte, processate e distribuite dagli strumenti internet dei nostri giorni, spesso in modo incontrollato.
Il GDPR sarà regolamentato da un nuovo organismo di garanzia a livello Europeo. Il GDPR è in realtà già una legge in vigore dal 2016, ma dal 25 Maggio 2018 diventerà esecutiva a tutti gli effetti, in quanto da quella data saranno applicate le sanzioni del garante nel caso di mancati adempimenti nei confronti del regolamento.
Qual è lo scopo del GDPR?
Lo scopo primario del GDPR è di tutelare maggiormente le informazioni che le aziende e le istituzioni raccolgono sui cittadini Europei, gli interessati, i quali devono essere esplicitamente informati sulla raccolta dei loro dati personali o sensibili, e sulla tipologia di trattamento che il titolare del dato, ossia l’azienda o istituzione che li raccoglie e li processa, intende farne.
L’intento secondario del regolatore, ma non meno importante, è di sensibilizzare le aziende ad attuare misure concrete per la protezione dei dati in generale, in questo aggravarsi del contesto di rischio cyber degli ultimi anni. La protezione dei dati degli interessati costringerà a riflettere sulla organizzazione della cyber security in azienda, ed implementare delle contromisure di governance e tecnologiche che andranno a beneficio della cyber security in generale.
Quali azioni devono intraprendere le aziende e le istituzioni per allinearsi a questa normativa?
A differenza della precedente legge sulla privacy Italiana, che prevede una serie di misure minime di protezione, il GDPR prevede che l’azienda attui una serie di contromisure ed un sistema di gestione del processo di raccolta e trattamento dei dati, determinate dalla azienda stessa in base ad una analisi del rischio, dove per “rischio” si intende il possibile danno per gli interessati, come nel caso di un data breach.
A quanto ammontano le sanzioni, nel caso in cui una azienda non sia adeguata al GDPR?
L’impianto sanzionatorio è estremamente aggressivo, e può arrivare fino a 20 Milioni di EURO oppure il 4% del fatturato. Naturalmente le sanzioni saranno proporzionali alla gravità di un eventuale incidente (come furto, manomissione, indisponibilità dei dati degli interessati), ed a quanto l’azienda avrà fatto per prevenirlo, alla completezza delle misure protezione e di governo.
Le aziende Svizzere devono per forza adeguarsi al GDPR?
Assolutamente no. Non è vero che basta detenere i dati di anche un solo cliente Italiano, Francese, Tedesco, o dipendente per esempio frontaliero, perché le aziende debbano adeguarsi in modo completo ed esaustivo al GDPR. Affermazioni di questo genere vengono fatte da consulenti o aziende poco serie che cercano di vendere i loro prodotti e servizi fomentando un panico immotivato. Purtroppo attori poco professionali come questi stanno prendendo piede anche in Ticino, proponendo a prezzi stracciati dei set di documenti precompilati, come “soluzione definitiva” al problema.
L’adeguamento al GDPR è una questione seria : innanziututto bisogna determinare se è necessario adeguarsi. Per esempio, una azienda Svizzera che ha una sede in Italia che raccoglie informazioni sui propri clienti, si deve certamente adeguare; oppure una società Svizzera che rivolge in modo evidente la vendita di propri beni i servizi sul mercato comunitario; o una azienda Svizzera che raccoglie dati sensibili di propri clienti comunitari, come dati medici o giuridici, si deve certamente adeguare.
Cosa suggerisce di fare alle aziende come primo passo?
Consigliamo innanzitutto di rivolgersi ad aziende o consulenti di provata esperienza nel settore della governance e compliance di sicurezza, di riconosciuta etica professionale e con comprovate referenze. Putroppo, come in tutti i settori dei servizi, vi sono molti incompetenti che hanno percepito l’opportunità di fare business con il GDPR e offrono servizi o soluzioni inadeguate, che mettono le aziende a grave rischio nel caso in cui si verifichi realmente un incidente.
Un consulente serio esegue innanzitutto una breve analisi per determinare se l’azienda deve effettivamente affrontare un processo di compliance al GDPR. Dopo questo mini pre-assessment si puo’ arrivare alla conclusione che non vi sono necessità di compliance al GDPR.
Nel caso in cui invece vi siano i presupposti per adeguarsi alla normativa, il consulente propone un assessment piu’ approfondito, per censire i dati trattati dalla azienda, e il loro grado di sensibilità Dopo una opportuna analisi del rischio, determina una pianificazione degli interventi di adeguamento necessari nelle aree di governance (gestione del processo), legale, ed eventualmente tecnologici.
Il consulente segue poi l’azienda fino al termine del processo di adeguamentoe e può seguirla anche nel tempo, per esempio assumendo il ruolo di DPO (Data Processing Officer) nel caso in cui la normativa lo preveda nel contesto aziendale specifico.
Ci sono in previsione iniziative di sensibilizzazione in Ticino su questo tema ?
Ci sono state molte inziative, convegni e workshop sul tema negli ultimi mesi, e altre ne sono previste prossimamente. Vorrei segnalare due occasioni da non perdere: la prima è il convegno del 25 Maggio prossimo “Il giorno del Big Bang”, organizzato dalla associazione ATED, di cui siamo sponsor ufficiali (maggiori informazioni quí), e successivamente ci sarà il corso di un giorno dal titolo “Introduzione al GDPR e alla nuova LPD”, organizzato da Security Lab Advisdory SAGL il 7 Giugno sempre in collaborazione con ATED, con l’intento di fornire alle aziende un “kit” minimo di competenze per affrontare serenamente il tema (maggiori informazioni quí). Questa giornata sarà tenuta dal nostro Siro Migliavacca, Managing Partner di Security Lab Advisory SAGL, dall’Ing. Alberto Piamonte, consulente d’impresa, esperto di governance, analisi e gestione dei rischi e certificazioni di conformità, e dall’Avv. Sascha Schlub, Partner dello Studio legale e notarile Gaggini & Partners, Lugano, responsabile del settore nuove tecnologie.
Per maggiori informazioni potete contattare Alberto Redi, Managing Partner di Security Lab SAGL: Tel +41-78-911 12 60
alberto.redi@sec-lab.com