Il Regolamento Generale sulla protezione dei dati (GDPR – General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea.
Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 e prevede le disposizioni che rafforzano la protezione dei dati e sulla privacy e devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che anche se al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.
I regolamenti prevedono una serie di leggi che si applicano in tutti i 28 Stati membri.
Le violazioni del DGPR comportano pene severe, con multe fino a 20 milioni di euro o del quattro per cento del fatturato globale, se superiore.
La protezione della privacy richiesta dal GDPR presuppone programmi di conformità sostenuti da tutta l’azienda, integrando i requisiti di sicurezza dei dati in tutte le fasi di ogni processo aziendale.
Ad esempio i responsabili dei dati devono informare entro 72 ore le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui e nel più breve tempo possibile tutti gli individui affetti in caso di violazione ad alto rischio.
Mettere in campo un quadro di valutazione del rischio è necessario per gestire la privacy dei dati e garantire la conformità.
L’Information Commissioner’s Office raccomanda di includere una descrizione delle operazioni di elaborazione e le finalità, una valutazione delle richieste del trattamento in relazione allo scopo, una valutazione dei rischi e le misure in vigore per affrontarli.
Molte delle politiche e delle pratiche di trattamento dei dati dovranno essere sottoposte a revisione, in quanto i responsabili dei dati saranno soggetti a nuovi obblighi GDPR.
Quest’ultimi ad esempio dovranno tenere registri interni di tutte le attività di elaborazione dei dati, con i dati catalogati e classificati ed inoltre proteggere il “diritto all’oblio” quando i dati di una persona non sono più utili o necessari all’interno di operazioni aziendali.
Molta attenzione deve essere posta a quei dati che vengono gestiti da servizi cloud, su infrastrutture esterne all’organizzazione.
I cloud provider devono infatti garantire che i dati saranno trattati in conformità alle specifiche richieste dal GDPR e proprio a tal scopo molti provider di servizi cloud hanno lanciato l’iniziativa CISPE grazie alla quale gli utenti di questi servizi potranno riconoscere facilmente i fornitori che rispettano le leggi europee sulla protezione dei dati (tra questi Amazon Web Services e Aruba, ma ce ne sono molti altri ancora).
Da un sondaggio fornito da Dell risulta che la maggior parte delle imprese si dichiara NON pronta anche perché non conosce bene quali siano i requisiti della nuova direttiva.
Al tal fine vengono elencate alcune strategie per aiutare le aziende ad aderire alle discipline di sicurezza GDPR, in modo da proteggere le informazioni personali dei clienti ed evitare perdite di dati(ma anche di reputazione)e multe salate.
[list-ul type=”check”]
[li-row]Assumere un data protection officer (DPO) – Tra gli impiegati interni o attraverso consulenti esterni[/li-row]
[li-row]Implementare una soluzione di access governance aziendale – Ossia gestire gli accessi alle applicazioni che consentono l’accesso ai dati con revisione periodica dei diritti di accesso da parte dei manager e l’attestato con il quale si dichiara che i permessi siano allineati con i ruoli e non compromettono la sicurezza.[/li-row]
[li-row]Controllare la gestione degli accessi – Come prevede il GDPR, dipendenti e fornitori devono disporre del permesso di accesso adeguato per svolgere il proprio lavoro con ad esempio l’autenticazione a più fattori, accesso remoto sicuro, etc.[/li-row]
[li-row]Firewall contro attacchi – Per ridurre l’esposizione della rete ai rischi di attacchi e perdite di dati che sono severamente puniti dal GDPR.[/li-row]
[li-row]Accesso sicuro da mobile – Favorire il flusso sicuro di dati permettendo ai dipendenti di accedere con i loro dispositivi mobile.[/li-row]
[li-row]Garantire la sicurezza della posta – Pieno controllo e visibilità sull’attività email per ridurre le minacce di phishing e altri attacchi via mail, abilitando però lo scambio sicuro e conforme di dati sensibili e confidenziali.[/li-row][/list-ul]
Il tempo per adeguarsi non è molto pertanto la maggior parte delle aziende devono avviare tutte le procedure in tempi relativamente brevi per non trovarsi impreparate e rischiare di cadere in multe salate.
Per chi volesse approfondire l’argomento consigliamo di scaricare il Regolamento Europeo per la Protezione dei Dati Personali (GDPR) in italiano messo a disposizione dal Garante Privacy.
[button url=”http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CONSIL:ST_5455_2016_INIT&from=EN” target=”_blank” color=”skyblue” size=”medium” border=”false” icon=”” btn_content=”GDPR italiano”]
