In occasione del “Data Protection Day”, che ricorre il 28 gennaio, Sophos, società specializzata in soluzioni di crittografia, sicurezza per endpoint, web, e-mail, mobile e network, ha elaborato una serie di suggerimenti per accompagnare le aziende nel processo di riorganizzazione delle loro policy aziendali al fine di essere conformi alle nuove norme del General Data Protection Regulation (GDPR) che entrerà in vigore nel maggio del 2018
“Maggio 2018: sembra una data lontana ma mancano meno di 18 mesi al momento in cui le aziende dovranno dimostrare di essere conformi a quanto richiesto dalla normativa GDPR – esordisce Marco D’Elia, Country Manager di Sophos Italia –. La privacy non è un argomento che si possa liquidare velocemente e mettere a punto tutte le politiche aziendali atte a proteggerla richiede impegno e tempo, soprattutto alla luce dei recenti dati raccolti dall’Osservatorio Security & Privacy del Politecnico di Milano che evidenziano come solo un’azienda italiana su cinque conosca nel dettaglio le implicazioni del General Data Protection Regulation. Sono pochissime inoltre – solo il 9% – quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza – il 46% – hanno in corso un’analisi dei requisiti richiesti”.
Finora le aziende se la sono sempre cavata con poche conseguenze nel caso di perdita di dati di clienti o dipendenti, ma il GDPR imporrà multe salate ai trasgressori, con importi particolarmente gravosi se a doverli corrispondere saranno le pmi, che notoriamente possono contare su risorse più esigue rispetto alle grandi realtà. Tra l’altro sono proprio le aziende più piccole che correranno rischi maggiori quando il regolamento sarà effettivo: le
autorità europee competenti saranno infatti propense a punire in modo esemplare le aziende che subiranno perdite di dati dopo l’entrata in vigore del GDPR, come monito per tutte le aziende che non si saranno adeguate alla normativa.
Ecco dunque i suggerimenti di Sophos:
1. Non trattate l’argomento privacy e il GDPR con condiscendenza, si tratta di questioni molto serie che come tali vanno affrontate;
2. Prendetevi il tempo di capire approfonditamente ciò che implica l’entrata in vigore del GDPR per la vostra azienda e valutate i vari passaggi che dovrete affrontare, rivolgendovi al vostro IT manager e coinvolgendo anche i consulenti legali se avete dei dubbi;
3. Lavorate fianco a fianco con le Risorse Umane per essere certi che i vostri dipendenti capiscano appieno il processo messo in atto dall’azienda per proteggere i loro dati sensibili;
4. Verificate che i vostri dipendenti siano consapevoli di ciò che vi aspettate da loro quando si parla di protezione dei dati custoditi in azienda. Spiegate loro che i clienti dipendono anche dal loro impegno nel proteggere i dati proprio come loro dipendono dai responsabili delle Risorse Umane per la tutela delle loro informazioni personali;
5. Non date ai vostri dipendenti accesso a dati che non sono necessari allo svolgimento delle mansioni di loro competenza. Il nuovo GDPR prevede infatti che anche semplicemente leggere dati sensibili venga classificato come una violazione dei dati.
6. Se raccogliete dei dati…proteggeteli! Trattate tutti i dati come se fossero dati personali e evitate di raccogliere e dunque custodire dati non necessari al vostro business. I cybercriminali non potranno rubarvi ciò che non avete.
7. Usate il vostro rispetto per la privacy dei clienti a vostro vantaggio, fornendo informazioni precise su quali dati state raccogliendo, a quale scopo e per quanto tempo intendete conservarli. Non usate termini incomprensibili ma spiegatelo in modo semplice. Le persone avranno molta più fiducia in voi e nella vostra azienda se percepiranno la vostra onestà e trasparenza.
8. Assicuratevi che le password utilizzate siano univoche e mai condivise. Ciò rende più difficile il furto dei dati e protegge da accessi impropri a dati che portano a violazioni della privacy;
9. Utlizzate l’encryption per proteggere i dati da ladri e occhi indiscreti; tale tecnologia diventerà imprescindibile per adempiere ai requisiti del nuovo GDPR