Abbiamo già parlato della nuova normativa europea sul trattamento dei dati personali in questo articolo, dove abbiamo intervistato Carlo Piana sugli aspetti legali del GDPR - questo il nome del regolamento - e quello che concerne il "cambio di paradigma" della regolamentazione europea. Quando dovrebbe avvenire questo cambiamento? La data di scadenza è il 25 maggio di quest'anno e forse non tutti ancora sono pronti.

"C'è un cambio di filosofia evidente nel nuovo regolamento, sia nelle componenti legislative che in quelle tecniche". (Igor Falcomatà).

Oltre all'aspetto legale del nuovo regolamento, c'è però quello del cyber risk, il "rischio informatico". In altri termini: c'è in gioco la sicurezza dei dati trattati e la qualità della sicurezza che dovrebbe essere fornita agli utenti che usufruiscono di servizi e applicazioni. Igor Falcomatà è un consultente che si occupa di questo campo e ha fornito ad esempio diverse soluzioni anche a livello locale in Provincia di Bolzano per il nuovo Open Data Hub sviluppato da IDM.

L'Hub, infatti, che raccoglie e mette a disposizione una grande mole di dati, dovrà ovviamente garantire elevati standard di sicurezza e lo dovrà fare sicuramente se vorrà distribuire il suo "know how" anche alle aziende che desidereranno solcare la scia di questo nuovo modo di stoccaggio e di utilizzo dei dati.

salto.bz: Con il nuovo regolamento come cambia il modo di intendere la prevenzione e l'individuazione dei rischi informatici?

Igor Falcomatà: In teoria dovrebbe cambiarle solamente da un punto di vista organizzativo: il nuovo regolamento richiede una serie di adempimenti organizzativo-burocratici che prima non erano necessari, ma dal punto divista "tecnico" non cambia molto, anzi, si fa esplicitamente riferimento all'utilizzo di metodologie "standard" e riconosciute. Adeguarsi alle "best practices" dovrebbe essere abbastanza semplice, anche se molte aziende adesso dovranno confrontarsi con esse anche per la prima volta.

C'è un cambio di filosofia con il nuovo regolamento? Le azienda e gli enti dovranno stare molto più attenti al materiale che utilizzano e come lo gestiscono: ma in che termini?

C'è un cambio di filosofia evidente nel nuovo regolamento, sia nelle componenti legislative che in quelle tecniche. Sul lato tecnico si rafforza l'idea di standard minimo di sicurezza, sul lato invece della concezione stessa della materia c'è un cambiamento molto importante, legato ai concetti di"security" (sicurezza informatica) e "privacy" (protezione dei dati personali) "by design"; nella progettazione di un sistema informativo, di un servizio, di un'applicazione, la sicurezza informatica e la privacy degli utenti devono essere considerate e implementate fin dall'inizio, e non considerate "a posteriori"  - o non considerate del tutto -  come spesso accade.

"Le aziende dovranno strutturarsi per gestire correttamente i nuovi requisiti e questo non sarà indolore".

E per quanto riguarda le violazioni dei dati personali?

Un altro requisito molto importante del nuovo regolamento riguarda infatti i "data breach": in caso di violazione dei dati personali, vi è un obbligo di notifica sia alle autorità che ai diretti interessati entro 72 ore dal momento in cui se ne viene a conoscenza.

Questo come si riversa sui modelli di business che utilizzano diverse aziende? 

Le aziende che già non lo sono, dovranno strutturarsi per gestire correttamente i nuovi requisiti e questo non sarà indolore.

Crede che se le direttive del regolamento facessero egemonia in questo campo, non avremmo avuto un caso eclatante come quello dei Cambridge Analytica Files?

Il fatto che vi sia una normativa, non impedisce a qualcuno di violarla; già secondo il Codice Privacy vigente, i fatti relativi a Facebook e Cambridge Analytica sono una trasgressione, e anche piuttosto rilevante. Certamente l'adozione di un regolamento europeo al posto di normative diverse nei singoli paesi potrà rendere più forti sia i controlli che la"pressione" applicata anche ai "big" del web.