A cura di Venustech, fornitore di servizi e soluzioni di sicurezza specializzata
Entrerà in vigore tra meno di un anno, il 25 Maggio 2018, il nuovo Regolamento Generale sulla Protezione dei dati, meglio noto con l’acronimo “GDPR – General Data Protection Regulation”, una normativa di cui ultimamente si sta sentendo parlare molto e approvata dal Parlamento Europeo nell’Aprile 2016. L’obiettivo è quello di armonizzare le leggi sulla riservatezza delle informazioni e sulla privacy di tutti i Paesi Europei e tenere al sicuro i dati sensibili degli utenti processati dalle aziende.
Il GDPR, andando a sostituire le normative dei singoli Paesi Europei diverse le une dalle altre, costituisce un importante passo in avanti in tema di standardizzazione delle politiche europee e di protezione dei dati a livello continentale. Ciò che cambia è l’estensione della giurisdizione a tutte le società che trattano dati personali di soggetti risiedenti nell’Unione Europea, indipendentemente dalla localizzazione geografica dell’azienda o del luogo in cui i dati vengono gestiti ed elaborati. Anche le imprese non europee che elaborano dati di cittadini europei dovranno comunque nominare un rappresentante interno all’UE.
Nonostante ci sia ancora un anno di tempo, è fondamentale che le aziende europee identifichino fin da subito le modalità in cui adeguarsi alla nuova normativa, evitando così di arrivare impreparate ad affrontare quello che viene considerato come il cambiamento più significativo degli ultimi 20 anni nella storia della protezione dei dati. La nuova normativa è, infatti, una revisione di un intervento del lontano 1995 e, sebbene ci siano ancora 11 mesi di tempo, Gartner stima che oltre il 50% delle aziende coinvolte non sarà pienamente conforme ai requisiti entro Maggio 2018.
È necessario che le aziende rivedano fin da subito i propri processi interni, ponendo la privacy degli utenti come elemento primario a cui garantire priorità e precedenza. È altresì necessario che le aziende potenzino la comunicazione aziendale interna attraverso programmi di formazione specifica affinché chiunque si trovi in una posizione che implica l’accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria professione.
Il concetto di “Privacy by Design”, un punto fondamentale su cui si concentra il GDPR, stabilisce che le misure di protezione dei dati debbano essere pianificate con le relative applicazioni informatiche di supporto a partire dalla progettazione dei processi aziendali. Questo implica che vengano processati solo i dati veramente indispensabili allo svolgimento dei propri obblighi professionali e che venga limitato l’accesso alle informazioni solo a coloro che devono svolgere l’elaborazione.
Un altro punto importante della normativa riguarda la “Breach Notification”: le notifiche di violazione dei dati sono obbligatorie laddove la violazione può mettere a rischio i diritti e le libertà degli individui. La notifica deve essere effettuata entro 72 ore dal momento in cui ci si è resi conto della violazione e i clienti sono tenuti ad essere informati “senza ritardi ingiustificati”.
Le modifiche che apporterà il GDPR non sono però solo legate al rapporto tra le aziende e gli utenti, ma riguardano anche la struttura interna dell’azienda stessa: la nuova normativa darà maggior risalto al team IT e ai CIO aziendali, rendendo più importanti le loro mansioni, ciononostante molti manager considerano ancora il GDPR come uno spreco di denaro e di tempo, non comprendendo l’importanza che riveste al giorno d’oggi il tema della protezione dei dati.
Con il GDPR viene istituita all’interno dell’azienda la figura del Data Protection Officer (DPO) con il compito di vigilare sui processi interni alla struttura e di fungere da consulente: tuttora i controllers (i controllori delle attività di monitoraggio ed elaborazione dati) sono tenuti a notificare le loro attività a DPA (Data Protection Advisor) locali che, ad esempio all’interno di multinazionali, possono rivelarsi un vero e proprio incubo burocratico, poiché ogni stato membro ha requisiti di notifica differenti. Con l’introduzione della figura del DPO, nominato sulla base di qualità professionali, esperto in materia di diritto e di pratiche di protezione dei dati e dotato delle risorse idonee, verrà semplificato il controllo dei processi interni di gestioni dei dati.
La nuova normativa pone particolare attenzione, oltre a quanto già detto, anche alle richieste di consenso che vengono fatte ai soggetti: il GDPR vuole che le richieste vengano sottoposte all’utente in maniera “intellegibile e facilmente accessibile”, di modo che sia subito chiaro qual è lo scopo dell’elaborazione dei dati. Le aziende dovranno inoltre garantire agli utenti il diritto alla cancellazione dei dati personali “Right be Forgotten”, la possibilità di chiedere informazioni riguardo al trattamento degli stessi e ottenere anche una copia gratuita in formato elettronico a disposizione del soggetto.
II nuovo regolamento sarà causa di severe sanzioni per la aziende che non lo rispetteranno, con multe fino al 4% del fatturato globale annuo o a 20 milioni di euro, a seconda di quale sia la cifra maggiore tra le due. Ma le conseguenze non saranno solo economiche: il mancato rispetto delle nuove norme avrà anche ripercussioni sulla reputazione e sull’immagine della compagnia, che non verrà considerata come attenta alla privacy degli utenti e ai loro dati sensibili.
Il GDPR ha fatto luce sulle tematiche della Data Protection, un tema che, anche in virtù degli ultimi attacchi informatici, richiede sempre più attenzione. È noto infatti che le minacce contro la sicurezza IT e la protezione dei dati sono sempre in continuo aumento, con una tendenza che non si appresta a diminuire e che, anche per la fine del 2017, si prevede in crescita. Basti pensare al recente attacco del ransomware WannaCry che ha colpito più di 150 Paesi tra Europa e Asia causando gravi danni in tutto il mondo. Un attacco così grave fa capire le capacità degli hacker di oggi, sempre alla costante ricerca di falle e inadeguatezze nei sistemi IT, che devono essere protetti anche con l’aiuto di specialisti leader del settore.
Per questo è importante dotarsi di soluzioni complete, facili da implementare e da gestire, che proteggano i dati e che monitorino il traffico di rete. È necessario difendersi contro gli attacchi avanzati così come contro gli attacchi più comuni, come SQL injection e XSS, una delle possibile cause di Data Loss. Sfruttando soluzioni di protezione efficaci le aziende possono proteggersi completamente, garantendo così anche ai propri utenti che i loro dati sono sempre al sicuro e che non c’è rischio che vadano persi.