Fra cinque mesi entra in vigore il nuovo Regolamento generale per la protezione dei dati personali (Gdpr). Sovrastimare il reale impatto per le imprese? «È difficile».  

Cinque suggerimenti che le aziende dovrebbero considerare al fine di proteggersi per prepararsi all’introduzione della General data protection regulation (Gdpr) dell’Unione Europea, che entrerà in vigore tra 5 mesi.

Si tratta del Regolamento generale per la protezione dei dati personali n. 2016/679 ed è la normativa di riforma della legislazione europea in materia di protezione dei dati. Per i Lloyd’s è «difficile sovrastimare il reale impatto per le aziende», anche perché «da un giorno all’altro, le conseguenze di una violazione informatica e i rischi associati alla perdita di dati sensibili riguarderanno una scala molto più vasta».

A questo proposito Vincent Vandendael (foto a lato) chief commercial officer dei Lloyd’s di Londra, dà alle aziende cinque suggerimenti: investire nella sicurezza informatica, sottoscrivere un’assicurazione cyber, notificare le violazioni responsabilmente, comprendere il rischio e aggiornare le procedure regolarmente.

Ecco, nel dettaglio, i consigli di Vandendael.

Investire nella sicurezza informatica. «Le aziende che possono dimostrare di aver intrapreso misure per proteggersi dagli attacchi verranno valutate con maggiore favore dalle autorità di regolamentazione. Una recente indagine dei Lloyd’s ha rivelato che il 92% degli intervistati europei ha subito una violazione dei dati negli ultimi cinque anni, confermando che è solo una questione di quando e non di se una società sarà vittima di una violazione informatica o di un attacco. Per le aziende avere procedure adeguate e i giusti strumenti a disposizione per ridurre questo rischio diventa un investimento molto sensato e un piccolo prezzo da pagare».

Sottoscrivere un’assicurazione cyber. «Le aziende devono assicurarsi di essere preparate al meglio per mitigare i rischi derivanti da un attacco informatico. Sottoscrivere un’assicurazione dovrebbe essere considerato come il primo fondamentale passo da compiere. I benefici si concretizzano nella protezione dei bilanci non solo perché si ricevono i contributi finanziari se qualcosa dovesse andare storto, ma anche perché si ha a disposizione la consulenza di esperti per il miglioramento della sicurezza e per un supporto sul campo durante il periodo di crisi. Collaborando con esperti nella sicurezza informatica e con gli assicuratori, le aziende possono comprendere meglio i rischi da affrontare e mitigarli al fine di proteggere la loro reputazione».

Notificare le violazioni responsabilmente. «In base ai nuovi regolamenti, le aziende dovranno riferire le violazioni dei dati entro 72 ore pena l’applicazione di una sanzione, in aggiunta alla multa relativa alla violazione stessa. Le organizzazioni che non osserveranno il Gdpr o che subiranno una violazione dei dati potrebbero dover far fronte a multe fino a 20 milioni di sterline (o il 4% del fatturato annuale totale) nei casi più gravi. Il gruppo Ncc, esperti della sicurezza informatica, hanno stimato che le sanzioni inflitte nel 2016 dall’Information Commissioner’s Office (Ico) nei confronti di aziende del Regno Unito avrebbero raggiunto 69 milioni di sterline, anziché 880.500 sterline, se il Gdpr fosse già entrato in vigore. In alcuni casi, le aziende saranno anche obbligate a contattare le persone i cui dati sono stati violati. È importantissimo dunque aver implementato le procedure necessarie per individuare in modo efficace, per denunciare ed eseguire le indagini relative a una violazione dei dati personali».

Comprendere il rischio. «Non fare esclusivo affidamento sul team It. Tutti coloro che sono coinvolti nell’attività devono conoscere i cambiamenti e la direzione deve dare l’esempio per dimostrare la serietà con la quale queste problematiche vanno gestite. È necessario comprendere i rischi che le violazioni presentano, come evitarli e cosa fare se si verificano. È importante assicurarsi che tutti siano informati e comprendano in che modo potrebbero essere coinvolti in base al loro ruolo. Ammettere  e confidare nell’ignoranza non eviterà la sanzione».

Aggiornare le procedure regolarmente. «Anche quando tutto sarà pronto per affrontare l’implementazione del Gdpr, non si può abbassare il livello di attenzione. 15 anni fa la tecnologia ricopriva un ruolo marginale nelle nostre vite. Oggi è parte di ogni cosa che facciamo e i rischi e le minacce esistenti sono in continua evoluzione seguendo il ritmo delle soluzioni tecnologiche sulle quali facciamo affidamento per prevenire gli incidenti informatici. Per assicurare di essere pronti è necessario effettuare verifiche regolari per accertare se le procedure esistenti sono efficaci e quali miglioramenti possono essere introdotti per continuare a essere conferme con le disposizioni e per mitigare i rischi». (fs)

© RIPRODUZIONE RISERVATA