A cura di Rashmi Knowles, Field CTO EMEA, e Giovanni Napoli, Enterprise EMEA security Architect Team Lead, di RSA Security
L’Italia parte favorita nell’applicazione del GDPR perché possiede una normativa nazionale particolarmente stringente e concettualmente vicina all’impianto del nuovo regolamento europeo. Nonostante questo, IDC afferma che il 78% delle aziende del nostro Paese non è ancora pronto a soddisfarne pienamente tutti i requisiti.
A pochi mesi dall’entrata in vigore del GDPR sussiste, infatti, ancora una forte necessità da parte delle aziende di comprenderne la complessità in termini di sfide e opportunità che esso sottende.
In questi mesi, al centro del dibattito, sono anche i criteri di certificazione locali allineati al GDPR, la cui definizione nel nostro Paese è ancora oggetto di discussione. Il regolamento, infatti, affida al legislatore nazionale il compito di integrare il quadro normativo di riferimento, definendo i "requisiti aggiuntivi" a livello locale e le relative responsabilità.
Se sul fronte legislativo e aziendale sono ancora molti i passi da compiere, dal punto di vista dei consumatori l’entrata in vigore del GDPR comporterà senza dubbio grandi benefici: sia in termini di trasparenza che di maggiore controllo su come vengono processati i dati, in modo da ridurre i furti di identità e prevenire le violazioni e i danni conseguenti.
Una maggiore responsabilità
Con la nuova normativa, è stata ampliata la definizione di “dati personali”. Ora può includere anche gli indirizzi di rete IP, o i dati genetici, che potrebbero in quale modo essere facilmente utilizzati per identificare un individuo, anche se non nominato direttamente.
I consumatori beneficeranno, inoltre, di un diritto alla privacy più esteso, continuando ad avere il diritto di richiedere una copia di tutti i dati personali che un’azienda detiene, ma anche di chiedere che i dati siano corretti o riservati, o definitivamente eliminati.
In caso si subisca una violazione dei dati personali, l’azienda che li detiene dovrà, nella maggior parte dei casi, dare comunicazione all’autorità di controllo entro 72 ore, fornendo informazioni dettagliate, tra cui il numero di record compromessi, le probabili conseguenze per gli individui e le misure di “remediation” che ha adottato. Non sarà un’impresa da poco!
Inoltre, a differenza dei tradizionali audit annuali, il regolamento richiede una compliance continua. Non si tratta più di una semplice casella da barrare una tantum ma sarà necessario rimanere in guardia tutto l'anno.
Se un’azienda fallisce il rispetto della compliance GDPR – perché non ha messo in atto i controlli adeguati, ha perso dei dati o non li ha messi a disposizione dei clienti entro un termine ragionevole – può incorrere in sanzioni che ammontano fino al 4% del fatturato globale. Un elemento di riflessione in più per qualsiasi realtà aziendale.
Il GDPR: un alleato e non un nemico
Rispettare la compliance al GDPR sarà, difatti, nel lungo periodo, uno tra gli indicatori di salute e di solidità del business di un’azienda
Essere in grado di dimostrare il proprio impegno rispetto alla trasparenza e l’attenzione alla salvaguardia dei dati dei clienti e della loro privacy non rappresenteranno solo azioni lodevoli e di dedizione, ma avranno conseguenze redditizie per l’azienda stessa.
Queste azioni, infatti, aiuteranno le aziende a incrementare la fedeltà dei clienti, a ridurre il rischio di perderne e a differenziarsi rispetto ai concorrenti. Al contrario, eventuali fallimenti dal punto di vista della tutela e protezione dei dati personali possono implicare un impatto negativo sulla reputazione, sul valore delle quotazioni in borsa e sui ricavi.
Come mitigare il rischio
Tuttavia, non esiste 'la soluzione per il GDPR', nessuna risposta miracolosa a tutte le sue implicazioni e nessuno strumento di risoluzione rapida; indipendentemente da cosa i vendor di sicurezza possano promettere, è certo che il processo sarà complesso e la compliance non potrà essere garantita a priori.
Sussistono però alcuni passi che le aziende possono intraprendere per contribuire a mitigare il rischio:
1. Condurre un approfondito risk assessment/gap analysis in ambito compliance GDPR: individuare quali sono i dati personali e/o sensibili più importanti, dove e come vengono memorizzati e quali sono le maggiori aree di rischio
2. Sviluppare controlli e processi adeguati: gestire i dati personali e sensibili durante tutto il ciclo di vita, dal momento in cui vengono raccolti, attraverso l'autorizzazione e il consenso della persona interessata, fino all'elaborazione e la conferma dell'avvenuta cancellazione
3. Implementare strumenti di detection e di risposta in caso di incidenti di sicurezza: avere la capacità di identificare dove e come è avvenuta una violazione, quali dati sono stati coinvolti e come è possibile mitigare ragionevolmente la minaccia – in modo veloce
4. Avere un piano di risposta in caso di privacy breach: un piano operativo che identifichi i principali stakeholder, definisca chiaramente i ruoli e le responsabilità del team di risposta dell'incidente ed elabori una strategia di comunicazione mettendo quanto accaduto in relazione al contesto aziendale: non operare per silos aziendali. Solo in questo modo è possibile creare una soluzione olistica di supporto alla compliance GDPR che aiuti ad eliminare i gap e contestualizzare eventuali incidenti rispetto al rischio di business
È importante ricordare sempre la finalità per la quale il GDPR è progettato: proteggere i diritti delle persone alla privacy.
Da questo punto di vista, gli stessi legislatori europei sono consapevoli che, nonostante si siano intraprese tutte le azioni corrette, il rischio di rimanere vittima di una breach è ancora elevato.
Per questo, dal punto di vista delle aziende, è fondamentale poter dimostrare di avere fatto tutto il possibile, considerati attentamente tutti requisiti del GDPR e avendo adottato le misure necessarie per essere compliant.