La maggior parte delle organizzazioni pubbliche e private investono denaro e risorse per essere in regola con il GDPR, ma a 5 anni dall’introduzione del Regolamento europeo sulla protezione dei dati personali un sondaggio condotto dall’Osservatorio di Federprivacy ha rivelato che il 78% delle aziende italiane considerano ancora il rispetto del GDPR come una mera burocrazia.
A farne le spese con un pericoloso effetto boomerang sono spesso le stesse aziende, che concentrandosi sugli aspetti formalistici della privacy finiscono per trascurare la sostanza della protezione dei dati, e le oltre 100.000 notifiche di data breach che sono state trasmesse lo scorso anno alle autorità di controllo europee sono un preoccupante indice che non può passare inosservato.
Le conseguenze dell’approccio burocratico alla privacy possono essere infatti disastrose per le organizzazioni che non hanno fatto niente altro che produrre documentazione in materia di GDPR che, anche se potrebbe dare una sensazione di illusoria conformità, servirà poi a ben poco se non vi è stato dato seguito con delle azioni concrete per mettere effettivamente in sicurezza i dati.
In primo luogo perché l’azienda che non è in grado di dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire di aver protetto i dati viola il principio di accountability richiesto dal Regolamento UE 2016/679, e si espone quindi al rischio di pesanti sanzioni amministrative.
Ma oltre alle multe, quando si verifica un data breach si possono innescare degli effetti a catena con serie ripercussioni e ostacoli alla normale prosecuzione delle attività produttive, perdite di dati, danni reputazionali, costosi interventi di ripristino, e in certi casi anche pagamenti di ingenti somme di denaro che i criminali informatici possono riuscire ad estorcere per restituire l’accesso ai dati aziendali dopo averli presi in ostaggio a seguito di un attacco ransomware.
La sfida della protezione dei dati si può quindi vincere solo con un approccio multidisciplinare che curi al tempo stesso sia gli impatti legali che quelli sulla cybersecurity, e come ha affermato qualche tempo fa Wojciech Wiewiórowski, Garante europeo per la protezione dei dati, “non c’è protezione dei dati senza sicurezza informatica, e non c’è sicurezza informatica senza protezione dei dati”, anche perchè ormai privacy e cybersecurity sono a tutti gli effetti due facce della stessa medaglia.
Anche se nella realtà quotidiana delle organizzazioni i professionisti che si occupano della protezione dei dati che sono esperti o di compliance normativa o di cybersecurity viaggiano spesso su due binari paralleli che raramente si incontrano, è necessario però che essi trovino delle convergenze per evitare di ingigantire le criticità anziché risolverle insieme cooperando tra di loro.
Specialmente con la crescente diffusione dei sistemi di intelligenza artificiale che stanno rendendo sempre più complicata una materia che complessa lo era già, è fondamentale perciò che gli addetti ai lavori facciano sempre più gioco di squadra, e per perseguire questo obiettivo sono particolarmente apprezzabili quegli eventi formativi come il Cyber & Privacy Forum 2023 che si propongono come obiettivo proprio quello di creare convergenza aiutando professionisti giuridici e informatici che si occupano della protezione dei dati a parlare una “lingua comune”.
Nicola Bernardi, presidente di Federprivacy