L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha concluso un’indagine su Ryanair D.A.C. per…
Gdpr, 5 scenari dopo l’entrata in vigore
Dopo anni di discussioni e a un anno dalla sua rettifica ufficiale il General Data Protection Regulation (Gdpr) – il nuovo regolamento Ue sulla protezione dei dati personali – sta per entrare definitivamente in vigore il prossimo 25 maggio.
Gli interrogativi, tuttavia, evidenzia Gastone Nencini, country manager di Trend Micro Italia, sono ancora molti.
Cosa potrebbe succedere effettivamente? Quando scatteranno le prime multe? Quali tecnologie e processi saranno ritenuti conformi allo standard di “stato dell’arte” imposto dal regolamento? Il Gdpr sarà di aiuto o di intralcio all’innovazione? Per Nencini, non ci sarà “nessuna grossa multa?per ora”.
In base al Gdpr, ricorda il manager, “le aziende potrebbero essere sanzionate con multe fino al 4% del fatturato annuo o 20 milioni di euro”.
È però “improbabile che venga esercitato subito questo potere, ma queste sanzioni non sono simboliche e col passare del tempo potremmo vedere le prime penalizzazioni. È possibile che la prima grande multa non venga data per una grande violazione, ma per un caso individuale, nel quale un’azienda non abbia rispettato i nuovi diritti del cittadino, circa l’accesso e la custodia dei suoi dati personali. Le conseguenze peggiori riguarderebbero i danni di immagine e relativi alla fiducia, piuttosto che il valore della multa in sé. Come altro provvedimento, i legislatori potrebbero anche sospendere e vietare il trasferimento dei dati verso altri Paesi, questo spingerebbe l’azienda sanzionata ai margini del business”.
Per quanto riguarda possibili estorsioni legate al Gdpr, Nencini rileva poi che “il nuovo regolamento stabilisce delle sanzioni economiche in caso non venga rispettato. I cyber criminali potrebbero impossessarsi dei dati di un’azienda, calcolare la probabile sanzione e chiedere una somma di denaro leggermente inferiore, per non rendere pubblica la violazione. Nel caso l’azienda non dovesse cedere al ricatto, i cyber criminali porterebbero avanti l’estorsione vendendo i dati online. E la beffa”, evidenzia l’analisi, “sarebbe doppia”.
Se ci si sofferma sull’eventualità di un incidente relativo a un fornitore, il manager rimarca invece che “secondo il nuovo regolamento, le aziende che processano i dati, come ad esempio i cloud provider, hanno le stesse responsabilità di chi li controlla, in caso di violazioni.
Al di fuori dell’Unione Europea, le leggi in materia di dati sono meno rigide, per questo bisogna assicurarsi che tutti i fornitori abbiano le stesse policy e procedure per mantenere gli standard del Gdpr”.
Tuttavia, prosegue Nencini, “nonostante le possibili sanzioni economiche, i danni reputazionali e le interruzioni di servizio, alcune aziende potrebbero essere tentate dal non denunciare le violazioni del regolamento o dal non dire tutta la verità. Magari perché non hanno tutte le informazioni, ed è per questo che un continuo monitoraggio della rete e un piano di risposta agli incidenti sono essenziali, per rispettare il tempo di notifica delle 72 ore imposto dal Gdpr. Il regolamento vuole indurre le organizzazioni a essere più trasparenti, non esserlo porterebbe ovviamente a serie e peggiori conseguenze”.
Infine, sostiene ancora il manager, si assisterà a un periodo di aggiustamento. “È importante ricordare”, analizza Nencini, “che il Gdpr non è un esercizio di velocità a mettersi in regola in vista di una scadenza singola, ma un processo continuo che si evolve nel tempo. Questo è anche un vantaggio, perché rende possibile un primo periodo di aggiustamento, nel quale i legislatori saranno più morbidi con le organizzazioni in difetto. Per avere successo nel lungo periodo però, le aziende dovranno vedere il regola mento come un processo di business, formulando strategie sia all’interno che all’esterno dell’organizzazione.
Quello che è importante sottolineare”, conclude, “è che il Gdpr è qui per restare. Le aziende devono abbracciare il cambiamento e imparare a innovare, crescere e competere in questo nuovo scenario legislativo”.
(Fonte Cyber Affairs)