Il General Data Protection Regulation, Regolamento Generale sulla protezione dei dati – GDPR, entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’Unione Europea imponendo obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei.
Il regolamento intende rafforzare e unificare la protezione dei dati delle persone all’interno dell’UE e l’esportazione di questi al di fuori degli stessi confini. L’ambito del GDPR comprende tutte le imprese europee, nonché qualsiasi attività che controlli o gestisca i dati personali relativi alla fornitura di beni e servizi ai cittadini all’interno dell’Unione Europea o sia progettata per monitorare in qualche modo il loro comportamento. In questo senso, la nuova legge europea rappresenta un’importante evoluzione delle pratiche globali di sicurezza dei dati e della privacy all’interno dell’area europea.
Il GDPR e gli impatti sulle aziende
In questo nuovo scenario, secondo un report pubblicato della società software AvePoint e dal think tank Centre for Information Policy Leadership (CIPL), le aziende hanno sempre più necessità di esaminare approfonditamente, e in molti casi cambiare drasticamente, il modo in cui gestiscono le informazioni e i dati dei propri clienti. Il report raccomanda di integrare i requisiti di sicurezza dei dati in tutte le fasi di ogni processo aziendale, dalla progettazione al rilascio.
Uno studio dell’Osservatorio Security & Privacy del Politecnico di Milano afferma che le aziende italiane sono in forte ritardo sull’applicazione del GDPR: solo una su cinque conosce nel dettaglio le implicazioni del regolamento e pochissime (9%) hanno già elaborato e pianificato progetti o processi per l’adeguamento. Dalla ricerca risulta che la consapevolezza delle imprese sul GDPR è ancora limitata: per il 23% del campione le implicazioni non sono note in dettaglio nell’organizzazione, per il 22% lo sono solo nelle funzioni specialistiche, ma il tema non è ancora arrivato all’attenzione del vertice. Solo la metà del campione di aziende prevede di stanziare un budget dedicato all’applicazione del GDPR, ma di queste solo il 35% nel breve termine.
La mancata conformità ai requisiti richiesti dal DPGP potrebbe avere forti ricadute sugli aspetti economici, visto che in caso di inadempimento sono previste ammende fino al 4% del fatturato annuale aziendale con un massimo di 20 milioni di euro.
Proprio per questo e per dipanare i principali dubbi che le aziende hanno sul tema, RSA, nel suo annuale RSA Summit, appuntamento dedicato alla sicurezza informatica, metterà al tavolo diversi esperti di GDPR per spiegare non solo gli aspetti più tecnici e legali legati all’adozione del regolamento, ma anche per sfatare i cosiddetti “falsi miti”, che si sono creati intorno alla normativa europea.
“Mancando pochi mesi all’entrata in vigore del GDPR, le aziende si stanno adoperando per comprendere il loro livello di compliance e identificare i requisiti che devono ancora raggiungere per non incorrere nelle sanzioni previste” ha dichiarato Massimo Vulpiani, Regional Director, Europe South, Dach, Eastern Europe & Middle East di RSA. “RSA, che da sempre propone un approccio Business-Driven alla sicurezza, mette a disposizione il suo team di esperti, ed il suo ecosistema di partner, per garantire una corretta gestione dei rischi ed efficaci soluzioni di protezione dei dati aziendali”.
Quali i requisiti richiesti?
Dal punto di vista operativo, il principio guida del regolamento è che tutti i dati che riguardano specificamente una persona appartengono ad essa e non all’azienda che li detiene o tratta. Quando si utilizzano tecnologie che possono collezionare informazioni e dati ritenuti sensibili per i diritti e la libertà delle persone sono necessari i Formal Data Privacy Impact Assessments (DPIA).
L’Information Commissioner’s Office (ICO) raccomanda di includere una descrizione delle operazioni di elaborazione e le finalità, una valutazione delle richieste del trattamento in relazione allo scopo e una dei rischi, oltre alle misure in vigore per affrontarli. Particolare attenzione deve essere posta a quei dati che vengono gestiti da servizi cloud, su infrastrutture esterne all’organizzazione. I cloud provider devono infatti garantire che i dati saranno trattati in conformità alle specifiche richieste dal GDPR.
Il regolamento europeo presuppone infatti che le aziende:
- adottino politiche e procedure per garantire e dimostrare che i dati personali dei cittadini dell’UE siano trattati in conformità al regolamento;
- predispongano una puntuale manutenzione della documentazione di tutte le operazioni di elaborazione;
- valutino i rischi di sicurezza informatica e fisica relativa ai dati personali, inclusi quelli eliminati, modificati, persi accidentalmente, acquisiti in maniera non consona senza specifica autorizzazione dei diretti interessati e alle distorsioni o possibili illeciti derivanti da pratiche non autorizzate;
- realizzino adeguati controlli tecnici e organizzativi per garantire un livello di sicurezza adeguato al rischio;
- attivino procedure di attuazione per verificare l’efficacia dei controlli allineando i risultati rispetto alla valutazione del rischio;
- stabiliscano procedure di verifica e di controllo;
- valutino attentamente l’impatto dell’elaborazione e della raccolta di informazioni sensibili sugli aspetti di tutela e protezione dei dati di cittadini UE;
- comunichino ai cittadini il momento della raccolta delle informazioni;
- nominino un responsabile della protezione dei dati incaricato della garanzia di conformità dell’organizzazione ai requisiti del regolamento comunitario.
Cosa le aziende devono documentare?
Le politiche e le pratiche di trattamento dei dati dovranno essere sottoposte a revisione, in quanto i responsabili di queste informazioni saranno soggetti a nuovi obblighi GDPR. Dovranno essere tenuti registri interni di tutte le attività di elaborazione dei dati, che saranno catalogati e classificati. Per attestare la conformità, le aziende dovranno inoltre documentare:
- i processi e le infrastrutture aziendali in cui vengono trattati o risiedono i dati personali;
- la valutazione dei rischi di questi processi e delle infrastrutture;
- i controlli, le politiche e le procedure di esecuzione per garantire che i dati personali siano trattati in conformità al regolamento;
- i risultati dei test di controllo e verifica;
- la situazione delle criticità in sospeso e i piani di bonifica.
Solo attraverso un approccio olistico è possibile comprendere meglio il rischio relativo alla sicurezza delle informazioni e capire che è prioritario al momento investire nella gestione efficace del rischio, stabilendo precise responsabilità e rispondendo più rapidamente alle lacune identificate nel quadro del controllo della sicurezza delle informazioni.
Quali le soluzioni per le aziende?
Le aziende devono trovare nuove soluzioni, rispettando i requisiti di compliance e governance, per rispondere sempre più ad alcuni bisogni quali gestire utenti dinamici e in crescita, sia all’interno sia all’esterno dell’azienda, fornire l’accesso a sistemi, applicazioni e dati residenti sia on-premise sia nel cloud.
I team preposti alla sicurezza e alle operazioni IT non riescono più a gestire i silos di dati relativi alle identità e non possiedono né la visibilità né il controllo centralizzato degli accessi utente di cui hanno bisogno; d’altro canto, gli utenti tentano inutilmente di accedere ai sistemi in maniera pratica e richiedono accessi più veloci a dati e applicazioni. L’IT non può inserire nel contesto di business il rischio legato alle identità e agli accessi con sufficiente velocità per rispondere alle esigenze aziendali, ostacolando così la crescita del business stesso.
I servizi RSA, ad esempio, consentono di identificare i gap di sicurezza all’interno delle aziende, migliorare la prontezza della cyberdifesa, valutare maturità e rischi, rispettare le pratiche di governance e conformità, e attivare servizi di risposta rapida in caso di violazione. Le aziende si focalizzano spesso su soluzioni imperniate sulla tecnologia, trascurando il contesto più generale dei rischi più immediati. Solo valutando persone, processi e tecnologia per creare un’analisi olistica omnicomprensiva delle esigenze di cybersicurezza le aziende possono attivare una risposta agile ed efficace in caso di violazione, attraverso un programma efficace di gestione del rischio.
Facebook Comments