"L'evoluzione tecnologica rende sempre più sofisticate anche le minacce al nuovo petrolio dell'economia digitale: i dati dei clienti. La sfida numero uno per le aziende è ora quella di trovare nuove soluzioni per tutelare utenti e business." Così si apre l'articolo di Emma Pisati sulla Privacy pubblicato sulla rivista di CMI Magazine.

Il Direttore Commerciale di Sostanza S.r.l. Valentina Trevaini ha risposto prontamente a quattro domande di massima importanz, trattando con chiarezza uno degli argomenti più attuali in merito alla privacy e sicurezza sul web.


Intervista a Valentina Trevaini in merito al nuovo regolamento GDPR


Per garantire sicurezza e privacy occorre che clienti e aziende imparino a maneggiare al meglio i dispositivi e i dati oggi a disposizione: quali sono i livelli attuali di consapevolezza e attenzione nella gestione e condivisione dei dati?

V. Trevaini: Le aziende sono già molto sensibili su questo argomento, tant’è che in questi ultimi mesi c’è stato molto fermento fra i nostri clienti. Sicuramente il livello di reattività alle nuove normative dipende dal settore, poiché alcune realtà trattano con più frequenza i dati sensibili dei propri utenti e si tratta di normative in continua evoluzione.
Le imprese che già seguono le disposizioni della legge 196/2003 ora dovranno aggiornare l’informativa sulla privacy, dando più evidenza alle finalità e ai mezzi della raccolta dati, e probabilmente anche avvalersi di un DPO. È proprio la nascita di questa nuova figura a essere fondamentale, perché dovrà verificare la situazione aziendale e assicurarsi che il titolare del trattamento dati segua le procedure indicate nel nuovo GDPR. Per questo motivo ci stiamo accreditando come DPO: vogliamo dare la migliore consulenza ai nostri clienti per arrivare preparati al 25 maggio, data ultima per l’adeguamento alla nuova legge europea.


Mancano pochi mesi all’entrata in vigore del nuovo GDPR: quali saranno in concreto i cambiamenti che questo comporterà per i clienti?

V. Trevaini: Grazie al nuovo GDPR, i clienti finali avranno più potere nella gestione dei loro dati personali e/o sensibili, per cui potranno agire direttamente sulle aziende al fine di proteggere la propria privacy: avranno infatti gli strumenti giusti per poter chiedere all’azienda come e perché i dati vengono trattati ed eventualmente modificare, cancellare e avanzare il diritto di oblio degli stessi.
In sostanza ci sarà un nuovo livello di consapevolezza e di gestione corretta della privacy. La cosa più importante è che le imprese aggiornino i propri siti web e i propri software, avviando anche un processo di formazione all’interno dell’azienda; il nostro team sta quindi lavorando per formare e informare le aziende e renderle GDPR compliant.


Quali sono gli aspetti di maggiore vulnerabilità e criticità per la sicurezza e la privacy dei clienti ai quali le aziende devono prestare attenzione?

V. Trevaini: Sicuramente i software antivirus e firewall forniscono aiuto, ma prima di partire dalla sicurezza degli applicativi e dall’analisi dei sistemi di intrusione ci deve essere consapevolezza e formazione in tutta l’azienda, dal singolo impiegato sino al responsabile IT.
Grazie a una corretta formazione, la gestione dei dati sarà sicuramente adeguata. È molto importante rendere partecipe tutto il team di lavoro, ed è per questo che la nostra azienda ha programmato momenti di formazione per tutti i dipendenti. A dimostrazione di questo fatto investiremo in formazione, inserendo nel nostro team un DPO accreditato da un ente certificato.


Quali livelli di sicurezza e privacy riescono effettivamente a garantire le nuove soluzioni per l’identificazione dell’utente o per la fruizione in self-service dei servizi?

V. Trevaini: Ci sono più livelli di sicurezza, a seconda del dato personale trattato e del contesto in cui viene rilevato. Fermo restando che anche solo il primo livello di sicurezza deve essere garantito, tutto dipende dalla finalità con cui vengono raccolti i dati: è proprio su questo che si basa la nuova normativa.
È molto importante che l’azienda decida cosa fare con i dati e che lo comunichi al suo cliente, evitando di raccogliere indirizzi e-mail e nominativi senza uno scopo preciso; ogni campagna marketing deve essere preceduta dalla scelta di un obiettivo. La precisione delle informative varierà poi in base alla finalità del trattamento dei dati. Finalmente questa legge coinvolge concretamente i grossi player (come Google e Aruba) e a cascata chi collabora con loro, per renderli responsabili.