Il tema della cybersecurity presenta per le imprese due grandi criticità. Il rapporto con il mercato e con i competitor e quello con le istituzioni. In entrambi gli ambiti, le conseguenze di una violazione dei dati, può essere disastroso fino a mettere in discussione la continuità aziendale. In Italia le grandi imprese e le istituzioni hanno da tempo messo in campo importanti risorse per difendersi dagli attacchi informatici ma, il 95% del tessuto imprenditoriale, non dimostra una preparazione adeguata.
Dal 2018 entrerà in vigore il regolamento UE 2016/679 meglio conosciuto come Gdpr (General Data Protection Regulation, regolamento generale sulla protezione dei dati). Si tratta di un nuovo quadro normativo valido per tutta l’Ue che contiene disposizioni stringenti anche per l’esportazione dei dati personali fuori dall’Unione Europea. L’impatto sarà importante su tutti i soggetti gestori di dati personali, compresi i big player americani e qualsiasi azienda extra Ue. La Gdpr sostituirà dal 25 maggio 2018 la direttiva 95/46/Ec del 1995. Ma cosa cambierà per le imprese? Molto, il quadro sarà stringente. Tra i vari aspetti salienti, vi è un cambio di passo circa la gestione delle situazioni di perdita dei dati personali di clienti/consumatori, dovuti a furti o violazioni in genere. La Gdpr impone che la nuova figura del responsabile del trattamento dei dati aziendali, abbia l’obbligo legale di informare l’autorità preposta nel caso di furto degli stessi. In funzione della condotta dell’impresa, le sanzioni possono arrivare anche a 10 milioni di euro o fino al 2% del giro di affari. Ciò che è importante sottolineare è che la Gdpr cambia il rapporto impresa-cliente: la perdita di dati personali non potrà più passare sotto silenzio.
Il quadro non è punitivo per le impresema tende a richiamare alla giusta condotta rispetto alla gestione dei dati dei clienti, anche con sistemi di certificazione di cybersecurty. Le valutazioni dell’autorità, a parità di evento nefasto, saranno diverse in funzione dell’impegno che l’impresa avrà dimostrato nella preservazione del patrimonio di dati posseduto. Da sottolineare che la Gdpr impatta anche sugli aspetti progettuali dei servizi che le imprese metteranno sul mercato. È previsto che sia obbligatorio, in previsione dell’immissione sul mercato di un nuovo servizio, la valutazione sull’impatto personale che una perdita di dati potrebbe determinare. Per tutto ciò è invocato il coinvolgimento dell’Autorità di protezione dei dati. A fronte di questo imminente cambiamento di scenario, come si stanno attrezzando le imprese? Sono state compiute diverse ricerche sul tema e le aziende generalmente sono a conoscenza dell’arrivo della Gdpr. Diverso è il livello di consapevolezza circa le conseguenze di una violazione che può costare molto cara.
