Il nuovo Regolamento dell’Unione Europea sulla protezione dei dati mette in allarme la International Association of Information technology asset managers (Iaitam), associazione di professionisti e imprese che si occupano di gestione di asset nell’IT.
Migliaia di aziende americane che fanno affari in Europa, con sedi nel nostro continente o anche solo tramite Internet ma rivolgendosi a clienti europei, dovranno prendere consapevolezza il prima possibile delle nuove regole sulla privacy che l’Unione europea ha approvato questo mese e che entreranno in vigore nel giro di due anni e capire fin da ora come adeguarsi, ammonisce l’associazione.
La Ceo Barbara Rembiesa ha affermato che ci sono “cambiamenti molto ampi sul modo in cui i dati personali e aziendali vanno gestiti” e che le implicazioni sono “di vasta portata” per molti aspetti delle attività commerciali che vengono condotte dalle aziende americane, “particolarmente per quanto riguarda il modo in cui viene gestita l’information security”. “Sono finiti i giorni in cui le imprese americane dovevano solo preoccuparsi di aderire alle leggi e alle regole dei paesi europei”, ha detto la Rembiesa: “Le aziende che non cominciano subito a pensare a come si adegueranno alle richieste della nuova General Data Protection Regulation rischiano un vero effetto shock”.
Per la Iaitam ci sono cinque macro-aree che le nuove regole europee andranno a impattare con maggior forza e di cui le imprese americane devono assolutamente tenere conto. La prima sono i data breaches, “violazioni della sicurezza che portano ad accidentale distruzione, perdita, alterazione, esposizione e accesso a dati personali che le aziende conservano, trasmettono o gestiscono in qualche modo”. Per la Iaitam, il nuovo quadro normativo europeo ha cambiato significativamente la definizione di data breach e ogni violazione va riportata entro 72 ore – non, come accade solitamente negli Usa, solo dopo che la notizia è trapelata sui media.
Altro elemento di forte impatto è la necessità di nominare un Data protection officer, un esperto di regole e norme della data protection che deve assicurare che la protezione dei dati sia sempre mantenuta su standard elevati.
Sarà ancora fondamentale ottenere sempre il consenso “informato e attivo” da parte del soggetto che fornisce i propri dati personali: deve esistere prova che l’utente abbia preso visione di termini e condizioni di chi raccoglie e userà i suoi dati.
C’è poi un requisito che riguarda un trattamento speciale per i dati dei cittadini europei relativamente al trasferimento delle informazioni personali verso un paese terzo o un’organizzazione internazionale: qualunque organizzazione che opera su scala globale e raccoglie o elabora dati di cittadini dell’Ue andrà a sua volta soggetta ai requisiti e alle norme del nuovo pacchetto di regole europee sulla privacy, comprese le organizzazioni “terze” che hanno ricevuto quei dati da aziende americane ma che potrebbero non essere statunitensi.
Il rischio di multe salate e altre sanzioni è un altro elemento cruciale da non sottovalutare per le aziende americane: l’Iaitam mette in guardia sulla severità dell’enforcement europeo e sul rischio di dover pagare miliardi di dollari per le eventuali violazioni perché le aziende saranno sanzionate dagli Stati membri in modo da assicurare pieno risarcimento del danno all’individuo cui viene riconosciuta la violazione della privacy più le multe previste come deterrente a future infrazioni.
“Qualunque organizzazione che gestisce dati di cittadini Ue deve conoscere da cima a fondo le nuove regole”, ha concluso la Rembiesa, “e capirne l’impatto sulle attività quotidiane. Le nuove regole sono molto dettagliate e prevedono severe sanzioni”: non solo vanno prese seriamente ma, secondo la Ceo di Iaitam, andrà valutato il costo di una compliance che necessariamente dovrà essere totale.