Prima dell’entrata in vigore del Regolamento Europeo per la Protezione dei Dati Personali (GDPR, General Data Protection Regulation), le organizzazioni dovranno mettere in regola le loro attività operative e adottare un approccio sicuro e mirato alla protezione dei dati e Delphix, attiva nella virtualizzazione dei dati, ha lanciato un forte monito alle istituzioni affinché siano pronte quando il Regolamento entrerà in vigore nel 2018.
L’approvazione del GDPR obbliga le aziende che archiviano o gestiscono dati a livello europeo a creare infrastrutture e design di sistema per la protezione di dati, evitando così di incorrere in sanzioni fino al 4 per cento del fatturato globale. In particolare, le organizzazioni sono tenute ad esaminare attentamente la sicurezza dei dati di non produzione e dei sistemi di test. Uno studio indipendente ha evidenziato come, nelle organizzazioni, fino al 90 per cento dei dati di non produzione sia attualmente non mascherato, generando un notevole rischio per la sicurezza e la conformità.
“Il GDPR introduce una struttura punitiva, simile alle misure introdotte per scoraggiare la fissazione dei prezzi nella normativa sulla libera concorrenza, che pone l’accento sul rischio di non-conformità“, sostiene Iain Chidgey, vice presidente, international sales, presso Delphix. “Negli ultimi anni, abbiamo visto importanti aziende ricevere sanzioni per centinaia di milioni di dollari per scandali legati alla fissazione dei prezzi e aziende non conformi costrette all’amministrazione controllata. Il GDPR rischia di avere lo stesso effetto, di conseguenza le aziende devono possedere una visione completa dei loro dati, gestendo i dati di non produzione con il medesimo profilo di sicurezza dei dati live“.
Il GDPR richiede misure avanzate di sicurezza per i dati per assicurare conformità, facendo riferimento in particolare all’uso della “pseudonimizzazione”. Questo processo consente di mascherare dati riservati di modo che non possano più essere ricondotti a nessuna persona, proteggendoli nel caso finissero nelle mani sbagliate.
Con le norme previste dal GDPR diventa importante mascherare i dati anche in numerosi altri casi:
- – Nel caso di una violazione dei dati: se i dati compromessi comportano un basso rischio per le persone coinvolte (ad esempio a seguito del mascheramento dei dati), le notifiche di violazione dei dati, da inviare alle autorità di regolamentazione e alle persone coinvolte, potrebbero non essere necessarie. In caso contrario, le organizzazioni sono tenute a inviare una notifica entro 72 ore, un arco di tempo piuttosto ridotto se si tratta di violazioni molto gravi.
- – Nel caso di una richiesta di divulgazione di dati: se le organizzazioni possono dimostrare che, senza l’accesso a ulteriori dati, nessuna persona può essere identificata servendosi dei dati mascherati in loro possesso, allora potrebbero non essere obbligate a fornire dati per rispondere a una richiesta di accesso ai dati o ad eliminare dati su richiesta.
- – A sostegno del data profiling: se le aziende utilizzano dati pseudonimizzati, ciò ridurrà notevolmente l’impatto sulla privacy di ciascuna persona. A sua volta, questo implica che i requisiti di consenso esplicito per decisioni e profiling automatizzati difficilmente troveranno applicazione nel GDPR.
“Il volume di copie di dati disseminato in ambienti di non produzione richiederà una tecnologia in grado di proteggere efficientemente tutti i dati, e non solo quelle porzioni di informazioni più sensibili” aggiunge Chidgey. “Il primo passo per soddisfare future richieste di protezione dati sarà comprendere dove sono localizzati negli ambienti IT. Il secondo passo sarà adottare una serie di innovazioni nel campo dell’IT per favorire la conformità e ridurre i rischi di violazione dei dati senza tuttavia rallentare i progetti. Unire il mascheramento alla virtualizzazione dei dati è un modo per consentire alle organizzazioni di raggiungere il livello di sicurezza richiesto dalla GDPR, assicurare conformità e distribuire dati rapidamente per accelerare importanti iniziative di business“.
“Il GDPR introduce un approccio ‘bastone-carota’ per incoraggiare il mascheramento dei dati. In vari punti del testo, le aziende vengono incentivate ad adottare tecnologie di pseudonimizzazione, sia per una buona gestione delle informazioni sia per ridurre il carico di obblighi normativi in caso di eventi inattesi, quali incidenti relativi alla sicurezza. Al contrario, alle aziende non conformi al GDPR verrà applicato il ‘bastone’, ovvero potenziali sanzioni fino al 4 per cento del fatturato complessivo. Questo è un grande incentivo al rispetto della normativa“, conclude Phil Lee, membro del team Privacy, Security and Information presso lo studio legale internazionale Fieldfisher.