A due anni dalla pietra miliare nella gestione dei dati, le aziende si trovano di fronte all’arduo compito di dover rivedere i loro sforzi iniziali

Due anni di GDPR: a rischio dopo il cornonavirus?

Il regolamento generale sulla protezione dei dati personali (GDPR) ha imposto a qualsiasi azienda che intrattiene rapporti commerciali con i cittadini europei di apportare modifiche significative entro il maggio 2018, data della sua entrata in vigore. Nel suo primo anno di applicazione, il GDPR ha indubbiamente portato alle imprese un nuovo standard in termini di igiene dei dati. Spinte dal regolamento, le società di tutto il mondo hanno dovuto affrontare l’impegnativo e spesso costoso esercizio di garantire una visione d’insieme delle informazioni personali e, cosa ancora più importante, hanno implementato strumenti per elaborare e conservare tali dati in modo sicuro.

Nel momento in cui si celebra il biennio dell’importante pietra miliare nella gestione dei dati, le aziende si trovano di fronte all’arduo compito di dover rivedere i loro sforzi iniziali. Perché? Le linee guida relative alla pandemia globale hanno costretto la maggioranza dei lavoratori a lavorare da casa, ma hanno anche permesso di sperimentare in maniera più approfondita nuove forme di comunicazione con i clienti come quella digitale.

Le aziende che già disponevano di processi e policy per il lavoro a distanza sono state fortunate considerando le attuali circostanze. Si sono infatti trovate nella posizione invidiabile di assicurare semplicemente che tali policy e regole venissero utilizzate da tutta la forza lavoro presso i propri domicili. Tuttavia, le aziende con una forza lavoro dislocata esclusivamente in loco o con un numero limitati di dipendenti in telelavoro potrebbero dover aprire i registri relativi alle loro attività di elaborazione dati, fare valutazioni sull’impatto nella protezione dei dati e verificare se il telelavoro ha avuto conseguenze o se ha cambiato il loro livello di rischio.

L’elemento fondamentale per la conformità al GDPR è la due diligence. È fondamentale valutare le diverse infrastrutture e i sistemi utilizzati dal personale che lavora da casa per capire se i dati sensibili passano attraverso le reti senza protezione. Questi dati vengono gestiti in modo diverso quando il personale lavora in ufficio? È responsabilità dell’azienda garantire che vengano effettuati gli opportuni controlli quando si accede alle informazioni personali o le si elabora da un ambiente domestico, proprio come quando i dipendenti si trovano in ufficio. Poiché una valutazione sull’impatto nella protezione dei dati deve identificare e analizzare come la privacy dei dati potrebbe essere influenzata dalle diverse azioni o attività quando si lavora da casa, le aziende sono obbligate a garantire controlli appropriati a seconda della sensibilità di tali dati.

La privacy dei dati e il telelavoro

Quando le aziende si sono trovate ad affrontare per la prima volta una nuova serie di norme sulla privacy e sulla sicurezza dei dati, molte sono state costrette a implementare rapidamente strumenti di sicurezza all’avanguardia per mantenere la protezione dei dati. Tuttavia, due anni fa, l’attenzione di quell’attività iniziale era molto probabilmente limitata ai confini dell’ufficio. Mantenere i dati sensibili al sicuro mentre si lavora da casa si sta ora rivelando una sfida che può introdurre ulteriori rischi per i dati sensibili.

Con la situazione globale legata al COVID-19 che costringe tutti i membri di una famiglia a rimanere a casa ogni volta che è possibile, è necessario valutare ogni singolo ambiente. Com’è il posto di lavoro quando si lavora da casa? È disponibile anche un ufficio fisico? C’è un armadio o un altro luogo che può essere chiuso a chiave per garantire la privacy dei dati e dei dispositivi? E, cosa ancora più importante per le famiglie con figli, il dispositivo viene utilizzato esclusivamente per motivi di lavoro o lo impiegano anche i bambini? È fin troppo allettante permettere alla famiglia di utilizzare un computer portatile di tanto in tanto solo per un po’ di pace e tranquillità, o per la navigazione privata. D’altra parte, i rischi per la sicurezza possono essere introdotti anche in modo opposto, cioè quando un dispositivo privato, che potrebbe non essere adeguatamente munito di soluzioni di sicurezza, viene utilizzato a fini professionali.

Grazie alle moderne tecnologie, non c’è dubbio che i dipendenti possano rimanere produttivi anche fuori dall’ufficio. Tuttavia, le aziende devono garantire che i dipendenti in telelavoro mantengano in sicurezza i processi e l’accesso ai dati, proprio come se si trovassero in ufficio. Le aziende devono quindi rivedere il livello della loro sicurezza per garantire un’esperienza di lavoro a distanza sicura e devono essere in grado di prevenire le violazioni dei dati. Non solo devono affrontare le vulnerabilità delle proprie reti e l’archiviazione fisica dei dati, ma dovranno anche affrontare il fatto che la maggior parte dei telelavoratori dovrà spostare i dati tra la rete aziendale, il cloud e il notebook. Per proteggere i dati personali in transito da un luogo all’altro, il GDPR suggerisce la crittografia per proteggere la privacy e la sicurezza, oltre che per prevenire le fughe di dati.

Gestione dei dati nella nuova normalità – qualunque essa sia

Le aziende dovrebbero comprendere che rivedere la conformità con il GDPR potrebbe essere utile. Quando supereremo la situazione attuale, si prevede che il lavoro da casa diventerà la nuova normalità e l’idea di una forza lavoro da remoto è quindi destinata a rimanere. Anche se una grande percentuale di lavoratori ritornasse in ufficio, la forza lavoro potrà ora godere della flessibilità di lavorare a distanza più che in passato. Mentre la conformità al GDPR è incentrata sulla protezione della privacy, consigliamo alle aziende di mantenere il controllo sui loro dati personali e sensibili indipendentemente dall’ambiente di lavoro. Una policy che regoli il telelavoro è ora una necessità per gestire i dati e mantenerli sicuri soprattutto adesso che la situazione è in evoluzione verso scenari ancora non del tutto noti.

A cura di Didier Schreiber, Zscaler Regional Marketing Director, Southern Europe