Dal 25 maggio è in vigore in tutta l’Unione Europea il nuovo regolamento per la tutela della privacy e per una data protection più spinta. Il GDPR ha rappresentato, e rappresenta tutt’ora, una sfida importante per le aziende e anche se l’Italia si trova in una posizione privilegiata rispetto agli altri Paesi europei in virtù della sua precedente normativa in materia di protezione della privatezza, le piccole e medie imprese italiane sono arrivate al traguardo impreparate.
A distanza di quasi due mesi dall’entrata in vigore del nuovo regolamento europeo è bene ribadire che la non conformità alla normativa comporta il rischio di sanzioni fino al 4% del fatturato globale annuo o 20 milioni di euro. Un incentivo in più per attrezzarsi, nel caso non lo si fosse ancora fatto, nella maniera più adeguata e per ridefinire l’approccio verso questa importante tematica.
Cosa prevede il GDPR: gli obblighi per le aziende
Il regolamento GDPR include disposizioni per la tracciabilità e la governance delle informazioni e prevede che le organizzazioni sappiano dimostrarne la gestione corretta. Sono previste, infatti, specifiche indicazioni relative alla cancellazione dei dati, alla sicurezza del trattamento degli stessi, all’adozione di meccanismi di certificazione che dimostrino la conformità al regolamento, alla sicurezza nell’utilizzo di tutti i dispositivi.
Le aziende in pratica dovranno dimostrare: di avere ricevuto un consenso esplicito per tutti i dati personali raccolti; di utilizzare i dati personali dei clienti in modo trasparente e appropriato; di proteggere i dati personali dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dall’accesso e dalla divulgazione non autorizzati; e di essersi adeguate alla normativa tramite misure di data governance che includano documentazione dettagliata, registrazione e valutazione continua del rischio.
Ricoh: un approccio a 360°
Per aiutare le aziende a rispondere ai requisiti normativi, Ricoh ha sviluppato un modello operativo suddiviso in quattro fasi: controllo, conservazione, distruzione e supporto.
Il primo elemento da considerare in ottica GDPR sono infatti i dispositivi per l’acquisizione e la gestione dei dati. Una volta archiviati, poi, i documenti devono essere adeguatamente protetti, senza che però questo rappresenti un ostacolo per lo svolgimento delle attività. Gli utenti devono poter disporre di tali documenti in un quadro di smart working, dunque indipendentemente dal luogo in cui si trovano e dal dispositivo che utilizzano. Altro elemento fondamentale è la rimozione sicura dei dati. In un’ottica di supporto invece è richiesta una conoscenza approfondita in materia di sicurezza IT, per analizzare l’infrastruttura aziendale e identificare eventuali vulnerabilità, ma il costo e le difficoltà per adeguarsi portano spesso le aziende a non fare nulla a riguardo, correndo rischi pericolosi.
Focus: come gestire i documenti
La sicurezza dei documenti e delle informazioni che transitano dai dispositivi di stampa e multifunzione è un aspetto importante. Basti pensare, ad esempio, alla possibilità che documenti dimenticati sui vassoi dei dispositivi finiscano in mani sbagliate oppure a tutte le informazioni sensibili archiviate negli hard disk dei sistemi da dismettere alla fine di un contratto di noleggio.
Con l’obiettivo di aiutare le pmi in questi aspetti Ricoh propone soluzioni per la stampa riservata e il controllo dell’accesso ai dispositivi multifunzione con autenticazione mediante badge o password, funzionalità per la crittografia dei dati archiviati e servizi di Data Cleansing per la rimozione sicura delle informazioni contenute negli hard disk.
Importante è anche l’attività di consulenza, dove Ricoh prevede servizi di analisi dell’infrastruttura documentale per individuare le eventuali vulnerabilità, di formazione agli utenti e di gestione del change management.