Segnalazioni dal mercato /

GDPR: una sfida per il business non solo per i dati

GDPR: una sfida per il business non solo per i dati

01 Ottobre 2017 Gian Carlo Lanzetti
SoloTablet
Gian Carlo Lanzetti
share
L’Italia parte favorita nell’applicazione del GDPR perché possiede una normativa nazionale particolarmente stringente e concettualmente vicina all’impianto del nuovo regolamento europeo. E’ quanto sostengono Rashmi Knowles, Field CTO EMEA, e Giovanni Napoli, Enterprise EMEA security Architect Team Lead, di RSA Security.

Nonostante questo, IDC afferma che il 78% delle aziende del nostro Paese non è ancora pronto a soddisfarne pienamente tutti i requisiti.

A pochi mesi dall’entrata in vigore del GDPR (Regolamento generale sulla protezione dei dati) sussiste, infatti, ancora una forte necessità da parte delle aziende di comprenderne la complessità in termini di sfide e opportunità che esso sottende. Se sul fronte legislativo e aziendale sono ancora molti i passi da compiere, dal punto di vista dei consumatori l’entrata in vigore del GDPR comporterà senza dubbio grandi benefici: sia in termini di trasparenza che di maggiore controllo su come vengono processati i dati, in modo da ridurre i furti di identità e prevenire le violazioni e i danni conseguenti.

Una maggiore responsabilità

Con la nuova normativa, è stata ampliata la definizione di “dati personali”. Ora può includere anche gli indirizzi di rete IP, o i dati genetici, che potrebbero in quale modo essere facilmente utilizzati per identificare un individuo, anche se non nominato direttamente.

I consumatori beneficeranno, inoltre, di un diritto alla privacy più esteso, continuando ad avere il diritto di richiedere una copia di tutti i dati personali che un’azienda detiene, ma anche di chiedere che i dati siano corretti o riservati, o definitivamente eliminati.

In caso si subisca una violazione dei dati personali, l’azienda che li detiene dovrà, nella maggior parte dei casi, dare comunicazione all’autorità di controllo entro 72 ore, fornendo informazioni dettagliate, tra cui il numero di record compromessi, le probabili conseguenze per gli individui e le misure di “remediation” che ha adottato. Non sarà un’impresa da poco!

Inoltre, a differenza dei tradizionali audit annuali, il regolamento richiede una compliance continua. Non si tratta più di una semplice casella da barrare una tantum ma sarà necessario rimanere in guardia tutto l'anno.

Se un’azienda fallisce il rispetto della compliance GDPR – perché non ha messo in atto i controlli adeguati, ha perso dei dati o non li ha messi a disposizione dei clienti entro un termine ragionevole – può incorrere in sanzioni che ammontano fino al 4% del fatturato globale.

 

Come mitigare il rischio

Rispettare la compliance al GDPR sarà, difatti, nel lungo periodo, uno tra gli indicatori di salute e di solidità del business di un’azienda sostengono di due manager di RSA.

Tuttavia, non esiste 'la soluzione per il GDPR', nessuna risposta miracolosa a tutte le sue implicazioni e nessuno strumento di risoluzione rapida; indipendentemente da cosa i vendor di sicurezza possano promettere, è certo che il processo sarà complesso e la compliance non potrà essere garantita a priori.

Sussistono però alcuni passi che le aziende possono intraprendere per contribuire a mitigare il rischio:

1. Condurre un approfondito risk assessment/gap analysis in ambito compliance GDPR: individuare quali sono i dati personali e/o sensibili più importanti, dove e come vengono memorizzati e quali sono le maggiori aree di rischio

2. Sviluppare controlli e processi adeguati: gestire i dati personali e sensibili durante tutto il ciclo di vita, dal momento in cui vengono raccolti, attraverso l'autorizzazione e il consenso della persona interessata, fino all'elaborazione e la conferma dell'avvenuta cancellazione

3. Implementare strumenti di detection e di risposta in caso di incidenti di sicurezza: avere la capacità di identificare dove e come è avvenuta una violazione, quali dati sono stati coinvolti e come è possibile mitigare ragionevolmente la minaccia – in modo veloce

4. Avere un piano di risposta in caso di privacy breach: un piano operativo che identifichi i principali stakeholder, definisca chiaramente i ruoli e le responsabilità del team di risposta dell'incidente ed elabori una strategia di comunicazione mettendo quanto accaduto in relazione al contesto aziendale: non operare per silos aziendali. Solo in questo modo è possibile creare una soluzione olistica di supporto alla compliance GDPR che aiuti ad eliminare i gap e contestualizzare eventuali incidenti rispetto al rischio di business

CONSIGLIATO PER TE:

Le gift card di Shopping Plus

È importante ricordare sempre la finalità per la quale il GDPR è progettato: proteggere i diritti delle persone alla privacy.
Da questo punto di vista, sottolineano ancora i due manager, gli stessi legislatori europei sono consapevoli che, nonostante si siano intraprese tutte le azioni corrette, il rischio di rimanere vittima di una breach è ancora elevato. Per questo, dal punto di vista delle aziende, è fondamentale poter dimostrare di avere fatto tutto il possibile, considerati attentamente tutti requisiti del GDPR e avendo adottato le misure necessarie per essere compliant.

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


Computime Srl

Computime, rivenditore Apple dal 1983, Servizi per l'editoria, Software House. La...

Vai al profilo

NBF Soluzioni Informatiche s.r.l. - Shopping Plus

NBF Soluzioni Informatiche s.r.l. opera nel mondo dell’Information Tecnology ed...

Vai al profilo

MSREI s.r.l

MS REI s.r.l. è un'azienda specializzata nel mondo degli investimenti. Nata come...

Vai al profilo

ALGORITMA

ALGORITMA progetta e sviluppa soluzioni software per ambienti desktop e mobile...

Vai al profilo