Il GDPR richiede una privacy integrata con le applicazioni e i processi e la creazione di figure professionali ad hoc. Il come procedere lo suggerisce Venustech
Il GDPR è prevedibile diverrà nei prossimi mesi per le aziende e i responsabili della sicurezza una sorta di spada di Damocle. Il problema sarà come evitare di farsi colpire non facendosi trovare impreparati e come adeguarvisi.
Tranne proroghe al momento non previste ma pur sempre possibili, entrerà in vigore tra meno di un anno, esattamente il 25 Maggio 2018, il nuovo Regolamento Generale sulla Protezione dei dati, noto come GDPR, acronimo di General Data Protection Regulation.
Il suo obiettivo è quello di armonizzare le leggi sulla riservatezza delle informazioni e sulla privacy di tutti i Paesi Europei e tenere al sicuro i dati sensibili degli utenti processati dalle aziende. Sicurezza che stante gli ultimi eventi di pirateria informatica è più che all’ordine del giorno.
Il GDPR, evidenzia Venustech, azienda specializzata nella sicurezza i cui prodotti sono distribuiti in Italia da Partner Data, costituisce un importante passo in avanti in tema di standardizzazione delle politiche europee e di protezione dei dati a livello continentale.
Ciò che cambia è però l’estensione della giurisdizione a tutte le società che trattano dati personali di soggetti risiedenti nell’Unione Europea, indipendentemente dalla localizzazione geografica dell’azienda o del luogo in cui i dati vengono gestiti ed elaborati. Inoltre si tratta di una normativa “erga omnes” e anche le imprese non europee che elaborano però dati di cittadini europei dovranno nominare un rappresentante interno all’UE.
Nonostante ci sia ancora un anno di tempo, è fondamentale che le aziende europee identifichino fin da subito le modalità in cui adeguarsi alla nuova normativa, evitando così di arrivare impreparate ad affrontare quello che viene considerato come il cambiamento più significativo degli ultimi 20 anni nella storia della protezione dei dati.
La nuova normativa è l’ultimo passo di un percorso iniziato nel 1995 e, anche se ci sono ancora undici mesi di tempo, Gartner stima che oltre il 50% delle aziende coinvolte non sarà pienamente conforme ai requisiti entro Maggio 2018.
GDPR e Privacy by Design
Quello che Venustech ritiene necessario è che le aziende rivedano fin da subito i propri processi interni, ponendo la privacy degli utenti come elemento primario a cui garantire priorità e precedenza. È anche necessario che le aziende potenzino la comunicazione aziendale interna attraverso programmi di formazione specifica affinché chiunque si trovi in una posizione che implica l’accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria professione.
Entrando nel dettaglio, un punto fondamentale su cui si concentra il GDPR è il concetto di “Privacy by Design”. In pratica, stabilisce che le misure di protezione dei dati debbano essere pianificate con le relative applicazioni informatiche di supporto a partire dalla progettazione stessa dei processi aziendali e a loro connaturale in modo nativo. Ciò implica che vengano processati solo i dati veramente indispensabili allo svolgimento dei propri obblighi professionali e che venga limitato l’accesso alle informazioni solo a coloro che devono svolgere l’elaborazione.
Un altro punto importante della normativa, evidenzia Venustech, interessa la la “Breach Notification” che stabilisce che le notifiche di violazione dei dati sono obbligatorie laddove la violazione può mettere a rischio i diritti e le libertà degli individui. Inoltre, la notifica deve essere effettuata entro 72 ore dal momento in cui ci si è resi conto della violazione e i clienti sono tenuti ad essere informati “senza ritardi ingiustificati”.
L’impatto organizzativo interno
Le modifiche che apporterà il GDPR non sono però solo legate al rapporto tra le aziende e gli utenti, ma riguardano anche la struttura interna dell’azienda stessa. La normativa dà maggior risalto al team IT e ai CIO aziendali, rendendo in pratica più importanti le loro mansioni.
Con il GDPR viene istituita all’interno dell’azienda la figura del Data Protection Officer (DPO) con il compito di vigilare sui processi interni alla struttura e di fungere da consulente: tuttora i controller (i controllori delle attività di monitoraggio ed elaborazione dati) sono tenuti a notificare le loro attività a DPA (Data Protection Advisor) locali che, ad esempio all’interno di multinazionali, possono rivelarsi un vero e proprio incubo burocratico, poiché ogni stato membro ha requisiti di notifica differenti.
Con l’introduzione della figura del DPO, nominato sulla base di qualità professionali, esperto in materia di diritto e di pratiche di protezione dei dati e dotato delle risorse idonee, verrà semplificato il controllo dei processi interni di gestioni dei dati.
La nuova normativa pone attenzione, oltre a quanto già osservato, anche alle richieste di consenso che vengono fatte ai soggetti interessati. Il GDPR richiede che le richieste vengano sottoposte all’utente in maniera “intellegibile e facilmente accessibile“, di modo che sia subito chiaro qual è lo scopo dell’elaborazione dei dati.
Le aziende dovranno anche garantire agli utenti il diritto alla cancellazione dei dati personali “Right be Forgotten”, la possibilità di chiedere informazioni riguardo al trattamento degli stessi e ottenere anche una copia gratuita in formato elettronico a disposizione del soggetto.
Il GDPR alla luce dei recenti attacchi
Il GDPR ha fatto luce sulle tematiche della Data Protection, un tema più che attuale visti i recentissimi attacchi informatici. È un dato di fatto che le minacce contro la sicurezza IT e l’esigenza di protezione dei dati sono in continuo aumento, con una tendenza che non si appresta a diminuire e che, anche per la fine del 2017, si prevede in crescita.
Il solo recente attacco del ransomware WannaCry ha colpito più di 150 Paesi tra Europa e Asia e causato gravi danni in tutto il mondo. Un tale attacco evidenzia peraltro le capacità degli hacker di oggi, alla ricerca di falle e inadeguatezze nei sistemi IT, che devono di conseguenza essere protetti anche con l’aiuto di specialisti del settore e ricorrendo a soluzioni di protezione.