le regole

Impatto del GDPR sulle piccole e medie imprese: il buono, brutto e il cattivo

Dal GDPR vengono novità positive per gli utenti in termini di tutela e controllo dei dati, ma anche criticità per le imprese medio-piccole, ancora non del tutto pronte ad applicarne le previsioni e i significativi cambiamenti organizzativi. Ecco come fare per non temere la nuova normativa

Pubblicato il 25 Mag 2018

Francesca Spidalieri

Cybersecurity Consultant, Hathaway Global Strategies, LLC

gdpr_1018025827

L’era digitale ha portato con sé una nuova consapevolezza sul trattamento dei dati personali e della privacy e, oggi, ogni azienda che faccia uso di tecnologie dell’informazione e comunicazione (ICT) e Internet per raccogliere, processare, comunicare e condividere dati non può ignorare i rischi di violazioni della privacy, attacchi cyber e altre minacce informatiche.

Indice degli argomenti

Rischi cyber, minaccia “esistenziale” per le aziende

Infatti, i rischi cibernetici riguardano tutti i settori e possono rappresentare una minaccia “esistenziale”, specialmente per le aziende più piccole che hanno risorse limitate ed hanno costruito il loro business su una sola linea di prodotti o servizi. In risposta all’alto numero di “data breach” degli ultimi anni, l’Unione Europea (UE) ha aggiornato le vecchie normative in materia di protezione di dati personali, alzando gli standard – e anche le sanzioni in gioco – per la protezione della privacy e rafforzando le regole per le aziende che gestiscono grosse quantità di informazioni personali. Recenti avvenimenti, come lo scandalo Facebook-Cambridge Analytica, mostrano con chiarezza le ragioni per cui regolamentazioni più stringenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE, sono necessarie per prevenire futuri attacchi, dare agli utenti maggior accesso e controllo sui loro dati e, infine, sanzionare coloro che non proteggono adeguatamente i dati che raccolgono e da cui ottengono profitto.

Il buono del GDPR: più controllo sui dati

Il GDPR – adottato dal Parlamento Europeo il 24 aprile 2016 e vigente dal 25 maggio 2018 – richiederà alle imprese di effettuare cambiamenti significativi nei loro programmi di sicurezza, nel loro modo di processare informazioni personali e di gestire le loro infrastrutture ICT per assicurare la giusta cura, custodia, controllo e protezione dei dati che hanno origine nell’UE, come anche la protezione del diritto alla privacy per gli individui. Il GDPR punta in primis a rafforzare la protezione della privacy, a dare ai cittadini ed ai residenti europei il controllo sui propri dati e a semplificare la cornice regolativa per gli enti che operano in UE. La nuova normativa si applicherà a qualunque ente abbia una presenza in UE e stabilisce regole precise per chiunque gestisca, raccolga, conservi, trasferisca o dissemini dati sui cittadini europei.

I nuovi principi fondamentali del GDPR

  • Distinzione e precisazione dei ruoli e delle responsabilità tra coloro che controllano i dati (individuo/compagnia che prende decisioni sulle attività di processione dei dati, il cosiddetto ‘titolare del trattamento’ o ‘data controller’) e coloro che processano i dati (individuo/compagnia che stipula un accordo con il controllore per gestire e raccogliere i dati, il cosiddetto ‘responsabile del trattamento’ o ‘data processor’).
  • Estensione della portata della definizione di “dati personali” includendo nomi, contatti, numeri e luoghi dei documenti d’identità, come anche gli indirizzi IP, cookies e transazioni digitali.
  • Assegnazione del ruolo di Autorità di protezione dei dati personali ad un unico garante per stato membro, che sarà responsabile dell’applicazione del GDPR e dell’obbligo per tutte le aziende di notificare qualsiasi data breach ai consumatori (e di riportare il fatto all’autorità garante competente) entro 72 ore dalla sua scoperta.
  • Riconoscimento del diritto degli utenti di accedere alle proprie informazioni memorizzate o rilasciate in precedenza, di ottenere tali informazioni in un formato scritto in chiaro e facilmente trasferibile e poterle trasferire ad un altro controllore di dati.
  • Aumento delle sanzioni per l’inadempienza alle prescrizioni del GDPR relative, in particolare, alla protezione dei dati e alla notifica di possibili data breach sino a:
    • 10 milioni di euro ($12 milioni) o il 2% del fatturato totale annuo della compagnia in caso di violazioni, e
    • 20 milioni di euro ($24 milioni) o il 4% del fatturato totale annuo della compagnia per violazioni più serie.

Il brutto del GDPR: l’impatto sulle piccole imprese

Molti studiosi, avvocati specializzati, ed esperti di privacy si chiedono se il GDPR rappresenti effettivamente una normativa utile ad identificare con chiarezza (e proteggere) ciò che costituisce i dati personali di un individuo, così come i titolari di imprese – specialmente se di piccole dimensioni – dovranno affrontare le difficoltà e i costi per il Gdpr, derivanti dalla necessità di adeguarsi ai cambiamenti organizzativi e procedurali richiesti dalla nuova normativa. Gli obblighi di segnalazione e notifica di attacchi cyber, per esempio, potrebbero determinare in concreto l’obbligo di trasmettere alla propria Autorità garante e altri possibili referenti (“points of contact”) per ogni Stato membro di un gran volume di informazioni (percepite in 24 lingue diverse!) che potrebbero non essere gestite agevolmente da una piccola azienda con risorse e capacità limitate.

GDPR, quanto costa a una pmi adeguarsi (e come ottimizzare la spesa)

L’impatto del GDPR sugli investimenti in innovazione

La necessità di apportare cambiamenti organizzativi rilevanti potrebbe, al limite, anche significare che un’azienda debba ritardare o perfino rinunciare ad investire nello sviluppo di nuove tecnologie e prodotti, dal momento che avrà bisogno di investire budget, tempo e sforzi extra per adempiere ai nuovi obblighi di consenso per il trattamento dei dati, mappatura dei dati e trasferimento transnazionale delle informazioni personali. Ciò potrebbe, peraltro, richiedere di trasferire considerevoli risorse dalle spese in ricerca e sviluppo agli investimenti necessari per assicurare il rispetto di questi nuovi obblighi.

Sebbene si possa sostenere che gli obiettivi fissati dal GDPR non siano del tutto realistici e che lo stesso Regolamento sia stato redatto da politici e tecnocrati al Parlamento Europeo in reazione alla crescita in numero, ampiezza e rilevanza delle violazioni di dati e privacy degli ultimi anni, piuttosto che da esperti di privacy e sicurezza ICT, le aziende che vogliono continuare ad operare in Europa dovranno comunque confrontarsi con i nuovi obblighi.

Il cattivo del GDPR

Piccole e medie imprese sono tutt’altro che preparate al GDPR e avranno sicuramente difficoltà ad applicarne le previsioni, specialmente se non hanno le risorse e le capacità necessarie a creare programmi dettagliati per la sicurezza e la privacy. Uno sguardo veloce alla maggior parte dei blog e dei forum di informazione sul GDPR mostra che molte PMI non hanno una chiara visione e comprensione del Regolamento, né, del resto, sembrano consapevoli di essere soggetti ai nuovi obblighi del GDPR (si veda, ad esempio, la conversazione sul GDPR su linkinfluence.blog). E’ bene precisare, sul punto, che tutte le aziende che detengono dati personali su consumatori europei devono essere in grado di dimostrare che hanno aggiornato i loro termini di servizio e politiche sulla privacy per essere in linea con il GDPR o essere pronti a pagare pensanti sanzioni.

Quattro semplici regole per non temere il GDPR

Nonostante le imperfezioni e i limiti del GDPR, le PMI non dovrebbero temere questa normativa e invece essere realiste riguardo alle proprie capacità e proattive nel migliorare i loro programmi di sicurezza, pur sempre mantenendosi all’interno dei parametri del budget a loro disposizione.

  • Innanzitutto, ogni organizzazione dovrebbe essere consapevole del tipo di informazioni (ad esempio, “personally identifiable information,” “protected health information,” “credit card information,” ecc.) che detiene, raccoglie e processa, di dove conserva tali dati, chi ne ha accesso e come vengono protetti.
  • Secondo, le imprese o altre organizzazioni dovrebbero capire meglio i rischi cyber cui sono esposte; fare una valutazione delle loro misure tecniche e politiche di sicurezza esistenti – inclusa la loro strategia di risposta agli incidenti ed i piani di continuità di business dopo un’interruzione; allocare le risorse umane e finanziarie in maniera appropriata per minimizzare i rischi cibernetici; e assicurarsi che tutti i dipendenti siano preparati e aggiornati sul GDPR e sulle modalità di protezione dei dati dei consumatori e di segnalazione delle eventuali violazioni.
  • Terzo, dovrebbero essere in grado di dimostrare ‘due-diligence’ nella filiera e certificare che tutti i loro fornitori e gli appaltatori siano conformi con il GDPR per evitare che questi terzi diventino la causa di un incidente informatico (“third-party breach”).
  • Infine, una semplice regola generale: se non è necessario ottenere e conservare tutti i dati personali possibili relativi ai propri consumatori per legittime ragioni di affari, è meglio non raccoglierli proprio o cancellarli appena il loro trattamento non è più necessario.

Uno degli aspetti positivi di questa normativa è costituito dal fatto che il GDPR rappresenta uno standard rivoluzionario per un efficace sistema di protezione dei dati dalle minacce informatiche e tutela delle proprie informazioni personali, e che altri paesi potrebbero decidere di seguire in futuro l’esempio europeo.

Per altri suggerimenti ed informazioni sulle best practices di sicurezza cibernetica per PMI, si veda il mio articolo: Understanding Cyber Threats – Lessons for the Executive Team.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

DFP BOX MOBILE 1
DFP TOP

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
INIZIATIVE
ANALISI
PODCAST
L'ANALISI
Video&podcast
Analisi
VIDEO&PODCAST
Video & Podcast
Social
Iniziative
IL PROGETTO
5GMed, ecco i quattro casi d’uso per la mobilità europea
L'APPELLO
Banda 6GHz chiave di volta del 6G: le telco europee in pressing su Bruxelles
EU COMPASS
Tlc, l’Europa adotta la linea Draghi: ecco la “bussola” della nuova competitività
ECONOMIE
EU Stories, il podcast | Politica industriale in Puglia: attrazione di talenti creativi e investimenti esteri grazie ai fondi di coesione
L'APPROFONDIMENTO
La coesione è ricerca e innovazione. Long form sugli impatti del FESR 2014-2020 nel quadro della Strategia di Specializzazione Intelligente a favore della ricerca e dell’innovazione
L'APPROFONDIMENTO
Pnrr e banda ultralarga: ecco tutti i fondi allocati e i target
L'ANNUARIO
Coesione e capacità dei territori
INNOVAZIONE
EU Stories | Dalla produzione industriale a fucina di innovazione: come il Polo universitario della Federico II a San Giovanni a Teduccio ha acceso il futuro
L'INIZIATIVA
DNSH e Climate proofing: da adempimento ad opportunità. Spunti e proposte dal FORUM PA CAMP Campania
INNOVAZIONE
EU Stories, il podcast | Laboratori Aperti: riqualificazione e innovazione in 10 città dell’Emilia-Romagna
Da OpenCoesione 3.0 a Cap4City: ecco i progetti finanziati dal CapCoe.  Il podcast “CapCoe. La coesione riparte dalle persone”
Capacità amministrativa e coesione: il binomio vincente per lo sviluppo dei territori
FORUM PA PLAY: come unire sostenibilità e investimenti pubblici. Speciale FORUM PA CAMP Campania
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
IL PROGETTO
5GMed, ecco i quattro casi d’uso per la mobilità europea
L'APPELLO
Banda 6GHz chiave di volta del 6G: le telco europee in pressing su Bruxelles
EU COMPASS
Tlc, l’Europa adotta la linea Draghi: ecco la “bussola” della nuova competitività
ECONOMIE
EU Stories, il podcast | Politica industriale in Puglia: attrazione di talenti creativi e investimenti esteri grazie ai fondi di coesione
L'APPROFONDIMENTO
La coesione è ricerca e innovazione. Long form sugli impatti del FESR 2014-2020 nel quadro della Strategia di Specializzazione Intelligente a favore della ricerca e dell’innovazione
L'APPROFONDIMENTO
Pnrr e banda ultralarga: ecco tutti i fondi allocati e i target
L'ANNUARIO
Coesione e capacità dei territori
INNOVAZIONE
EU Stories | Dalla produzione industriale a fucina di innovazione: come il Polo universitario della Federico II a San Giovanni a Teduccio ha acceso il futuro
L'INIZIATIVA
DNSH e Climate proofing: da adempimento ad opportunità. Spunti e proposte dal FORUM PA CAMP Campania
INNOVAZIONE
EU Stories, il podcast | Laboratori Aperti: riqualificazione e innovazione in 10 città dell’Emilia-Romagna
Da OpenCoesione 3.0 a Cap4City: ecco i progetti finanziati dal CapCoe.  Il podcast “CapCoe. La coesione riparte dalle persone”
Capacità amministrativa e coesione: il binomio vincente per lo sviluppo dei territori
FORUM PA PLAY: come unire sostenibilità e investimenti pubblici. Speciale FORUM PA CAMP Campania
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Cerrina Feroni (Garante privacy): “Luci e ombre della Data Strategy europea”

  • Dati condivisi

    Cerrina Feroni (Garante privacy): “Luci e ombre della Data Strategy europea”

    12 Mag 2022

    di Ginevra Cerrina Feroni

    Condividi
  • Sovranità dei dati, strategie politiche e interessi privati: le sfide globali da risolvere

  • economia digitale

    Sovranità dei dati, strategie politiche e interessi privati: le sfide globali da risolvere

    05 Lug 2022

    di Barbara Calderini

    Condividi
  • Sorveglianza di massa: dai droni ai social, così ci controllano

  • tecnologie e controllo

    Sorveglianza di massa: dai droni ai social, così ci controllano

    11 Lug 2022

    di Marco Martorana e Zakaria Sichi

    Condividi

Articolo 1 di 4