Il 25 maggio 2018 è il termine ultimo per mettersi in regola con il GDPR, General Data Protection Regulation, ovvero il Regolamento generale sulla protezione dei dati nell’unione Europea. Tutte le aziende e le pubbliche amministrazioni devono adeguarsi a pena di potenziali multe salatissime: fino a 20 milioni di euro.
DI COSA SI TRATTA?
Il GDPR è prima di tutto una normativa chiara e precisa sulla protezione dei dati personali entro i confini UE e regola anche il tema dell’esportazione dei dati personali al di fuori dei confini UE. Per dirla con parole semplici le aziende devono controllare dove sono i dati personali e garantire che siano protetti.
Con il GDPR vengono rafforzati i diritti degli individui e la protezione dei loro dati. Questo si traduce nella possibilità di accedere più facilmente agli stessi, nel diritto a essere informati su come i propri dati vengono utilizzati e gestiti, nel diritto a trasferire i propri dati tra diversi fornitori in formato aperto. Inoltre ogni individuo che non vuole più che i propri dati vengano trattati, e dimostra come non ci sia motivo per conservarli, può esigere la loro cancellazione.
Non devono essere protetti solo i dati, la sicurezza dovrà essere fatta su più livelli, così che i dispositivi e la rete siano in sicurezza, e anche tutti i dipendenti dovranno essere istruiti per un utilizzo sicuro del sistema.
Il Regolamento applica integralmente il principio Privacy By Design e By Default, cui ogni sistema deve adeguarsi: non solo il consenso al trattamento dei dati deve essere sempre valido, ma la salvaguardia della protezione dei dati deve essere integrata in prodotti e servizi sin dalla fase iniziale dei processi.
LA ROADMAP PER ADEGUARSI CORRETTAMENTE
INFORMAZIONE
Per adeguarsi correttamente il primo passo da fare è rendere noti i punti fondamentali della riforma a tutti all’interno dell’azienda e soprattutto a coloro che hanno budget e potere decisionale, nonché ai ruoli chiave nella vostra organizzazione.
AUDIT
Il secondo passo è fare una valutazione corretta e precisa della situazione odierna all’interno dell’azienda. Analizzando la situazione dei dati odierna, e ottenendone una visione realistica, si può capire dove bisogna intervenire.
CONTROLLO DEGLI ACCESSI
Un altro passo fondamentale è sapere chi ha accesso ai dati dell’azienda, sia tenendo traccia di chi accede, sia per prevenire qualsiasi violazione che permetta l’accesso a tutto il sistema. Se le azioni da amministratore possono essere fatte da un cerchio ristretto di persone è possibile minimizzare il rischio che altri ottengano il controllo completo alla rete. Riconoscere con accuratezza gli utenti, i device da cui provengono le richieste di accesso ai dati, è inoltre indipensabile per capire chi ha copiato, modificato un file e in quale momento lo ha fatto.
ACCOUNTABILITY
Occorre poter dimostrare l’adeguatezza dei propri processi di compliance. Sarà quindi necessario produrre una documentazione descrittiva e accurata di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora. Questo perchè i controlli saranno serrati e bisognerà dimostrare quali strumenti vengono usati per anonimizzare (rimozione dati) pseudonimizzare (sostituzione di dati personali, utilizzata spesso quando si fanno test applicativi) e crittografare (codifica dei dati personali) tutti i dati.
INVESTIRE NELLA SICUREZZA INFORMATICA
Implementare una sicurezza stratificata molto seria dal punto di vista informatico è il passo finale. Servirà per rispondere ad eventuali violazioni. Per questo motivo la prevenzione è alla base di tutto. Una regolare scansione e update dei software del sistema è d’obbligo. Non basteranno tradizionali difese come l’antivirus e l’UTM del Firewall, ma saranno indispensabili update regolari dei sistemi di sicurezza e dei software, fondamentali per il mantenimento in sicurezza dell’infrastruttura. Inoltre l’utilizzo di software di vulnerability scan, investendo quindi in nuovi dispositivi più sicuri e apportando i giusti sistemi di sicurezza, eviterà possibili potenziali violazioni. Formare i dipendenti sui rischi degli attacchi informatici è altrettanto importante: la maggior parte degli attacchi informatici sono dovuti a errori da parte dei dipendenti.
DATA PROTECTION OFFICER
Il primo o l’ultimo passo è anche identificare in azienda una figura che assuma il ruolo di Data Protection Officer. Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà, così come cita il regolamento “possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.” Questa figura sarà presente in occasione di tutti i controlli da parte delle autorità competenti.