BergamoNews.it - Bergamonews notizie in tempo reale da tutta Bergamo e provincia: cronaca, politica, eventi, sport ...

GDPR & cybersecurity

Informazione Pubblicitaria

GDPR tra costi e sanzioni, ma quanto costa non adeguarsi?

La prima domanda che ogni imprenditore sicuramente si è posto dopo aver compreso l’obbligatorietà dell’adeguamento alla normativa GDPR è stata: ma quanto mi costa?

Più informazioni su

La prima domanda che ogni imprenditore sicuramente si è posto dopo aver compreso l’obbligatorietà dell’adeguamento alla normativa GDPR è stata: ma quanto mi costa?
Ipotizzare una cifra di massima non è possibile. Come il regolamento ben definisce, alla base di tutto il processo vi è una valutazione dei rischi per definire le azioni da adottare considerando l’origine, la natura e la gravità del livello di rischio rilevato a cui i dati sono sottoposti durante il transito e la permanenza nei sistemi aziendali. Questa fase è necessaria per stabilire modelli e soluzioni da adottare adeguati a ogni realtà e per quantificare l’impegno economico.

Definire una macro suddivisione delle ‘voci di spesa’ è più semplice e possono essere ricondotte a:
– Consulenza legale per la redazione del modello privacy aziendale
– Consulenza tecnica per analizzare il livello di sicurezza dell’infrastruttura
– Implementazione di soluzioni informatiche di sicurezza
– Mantenimento e aggiornamento del modello e delle misure adottate

La domanda corretta sarebbe però un’altra. Quanto costa non adeguarsi?
Anche in questo caso la risposta non corrisponde a una cifra ipotetica ma a una serie di danni e costi derivati dal mancato adeguamento, che se quantificati singolarmente per ogni azienda possono decisamente superare le voci precedenti.

Analizzando la situazione soltanto dal punto di vista informatico partiamo dal presupposto che il ‘bersaglio’ sono i nostri dati, poiché hanno un valore. Sorge spontanea una domanda: se un cybercriminale attribuisce un valore ai nostri dati, per cui siamo anche disposti a pagare un riscatto al fine di recuperarli, perché non attribuire noi stessi per tempo questo stesso valore, preservandoli?

Stimare il costo del processo innescato da un attacco, rispetto a un adeguato sistema di protezione, è fondamentale. In caso di violazione informatica, un’azienda subisce inevitabilmente una serie di danni consequenziali: sistemi hardware inutilizzabili, fermi macchina e/o fermi produzione, inoperatività delle risorse, perdita di dati e/o furto di dati, interventi tecnici specializzati per il ripristino, riscatto economico (in alcuni casi), danno d’immagine (in caso di obbligo di notifica agli interessati)e dal 25 maggio sanzioni.

Quasi tutte le voci sopraelencate posso essere quantificate economicamente da ogni titolare d’impresa, ben cosciente del costo e del valore delle proprie risorse e del proprio operato. Rimane ad oggi esclusa e nebulosa l’ultima voce, introdotta dal GDPR: le sanzioni. Facciamo quindi chiarezza, per quanto possibile, su questo aspetto.
Le attuali linee guida non sono esaustive e non forniscono spiegazioni in merito alle differenze esistenti tra sistemi amministrativi, civili o penali nell’imposizione di sanzioni amministrative in generale. Il comitato europeo per la protezione dei dati ha raggiunto un’intesa comune sui criteri di valutazione del regolamento. Una volta accertata la violazione, l’autorità di controllo competente deve individuare le misure correttive più appropriate,osservando 4 principi:
1. La violazione del regolamento dovrebbe comportare l’imposizione di “sanzioni equivalenti”;
2. Come tutte le misure correttive scelte dalle autorità di controllo, le sanzioni amministrative pecuniarie dovrebbero essere “effettive, proporzionate e dissuasive”;
3. L’autorità di controllo competente effettuerà una valutazione “in ogni singolo caso”;
4. Un approccio armonizzato alle sanzioni amministrative pecuniarie in materia di protezione dei dati richiede la partecipazione attiva delle autorità di controllo e lo scambio di informazioni tra le stesse.

Per valutare sia l’opportunità di irrogare una sanzione amministrativa che l’importo della sanzione, l’art. 83 definisce un elenco di criteri che le autorità di controllo devono usare:
a) la natura, la gravità e la durata della violazione
b) il carattere doloso o colposo della violazione
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, (es. benefici finanziari conseguiti o perdite evitate, direttamente o indirettamente, quale conseguenza della violazione).
L’unica reale traduzione in cifre ad oggi disponibile è quella che tutti ben conosciamo, fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio. Adeguarsi per tempo, prima di scoprirne la precisa traduzione in cifre a seguito di sanzione, è sicuramente il miglior modo di fare chiarezza.

dott.ssa Susanna Previtali
Easytech Srl
Fonte: garanteprivacy.it Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679

© Riproduzione riservata

Più informazioni su

Commenti

L'email è richiesta ma non verrà mostrata ai visitatori. Il contenuto di questo commento esprime il pensiero dell'autore e non rappresenta la linea editoriale di BergamoNews.it, che rimane autonoma e indipendente. I messaggi inclusi nei commenti non sono testi giornalistici, ma post inviati dai singoli lettori che possono essere automaticamente pubblicati senza filtro preventivo. I commenti che includano uno o più link a siti esterni verranno rimossi in automatico dal sistema.