La GDPR offre l’opportunità di garantire una migliore protezione dei dati e quindi di conquistare la fiducia dei clienti. Approfittiamone per avvantaggiarci rispetto alla concorrenza!

GDPR e Data Protection Officer

Di Laurence Pitt, Security Strategist EMEA, Juniper Networks

Il 25 maggio scorso nei paesi dell’Unione Europea è entrata in vigore la  General Data Protection Regulation (GDPR). La nuova normativa modifica in modo sostanziale il modo in cui le aziende (e il settore pubblico) devono gestire le informazioni relative ai propri clienti, garantendo ai cittadini una maggiore protezione e armonizzando le normative dei diversi Paesi.

Trattandosi di una normativa europea, le organizzazioni non europee devono adattarsi? E’ una domanda che viene posta spesso in articoli, eventi, presentazioni e la risposta, per la maggior parte delle imprese internazionali è SI.

Per una piccola azienda non europea che non ha mai fatto affari o spedito alcunché al di fuori del proprio paese è possibile che la GDPR non rappresenti un problema. Ma è sufficiente avere un unico cliente, partner o dipendente in un paese dell’Unione Europea per dovere essere compliant. La GDPR si differenzia dalle precedenti leggi sulla protezione dei dati e garantisce la protezione dei dati sensibili relativi a cittadini UE, indipendentemente da dove nel mondo questi dati siano conservati.

La compliance con la GDPR è indispensabile per ogni organizzazione che faccia affari all’interno dell’Unione Europea ma è altrettanto importante per tutte le organizzazioni globali non Unione Europea che vogliono fare affari con individui o organizzazioni dell’Unione Europea. Chiarito questo punto, cosa deve fare in pratica un’azienda non Unione Europea?

A seconda del tipo di trattamento fatto su dati riguardanti cittadini europei, si dovrà probabilmente nominare un responsabile della compliance dei dati. Questa persona è il Data Protection Officer (DPO), al quale tocca la responsabilità di garantire che l’azienda protegga adeguatamente i dati dei cittadini Unione Europea. Il DPO sarà anche responsabile di tutti i processi che permettono di assicurare e mantenere la compliance. In assenza di un DPO è probabile che si finisca per non essere compliant a causa di lotte interne che impediscono di assumere decisioni efficaci. I criteri per la nomina del DPO e alcune linee guida sulle responsabilità del ruolo sono disponibili qui.

Valutando seriamente la compliance si potrà capire dove le best practice sulla protezione dei dati possono aiutare. Ricordiamo che la normativa si compone di 99 articoli, ma qui mi limiterò a considerare tre aree importanti. La legge completa, per chi lo desidera, è comunque disponibile qui.

  1. Crittazione dei dati. Per quanto possa sembrare ovvio, vale la pena dedicare del tempo a verificare cosa viene crittato e dove si trovi. Ciò comporterà probabilmente un audit completo dei dati ma, poiché sappiamo che i dati non mantengono lo stesso valore nel loro ciclo di vita, un audit avrà il vantaggio collaterale di farci capire, oltre a cosa crittiamo, quali dati vengono conservati e se debbano essere conservati o cancellati. Inoltre, non si tratta solo di crittare i dati “a riposo” ma bisogna considerare anche quelli in movimento e i metodi di protezione dei dati in rete. I più recenti tool di crittografia e CASBE potranno essere di grande aiuto.
  1. E’ necessario sapere chi accede ai dati, da dove e quando. Oggi, con la necessità di accedere 24 ore su 24 alle risorse online da qualsiasi dispositivo è importante adottare metodi di controllo che riducano il rischio di accessi non autorizzati. Allo stesso tempo occorre assicurare che i metodi di accesso da parte dei dipendenti siano sicuri, con password robuste e regolarmente modificate e sistemi di autenticazione multifattore. Questo per quanto riguarda l’accesso ai dati. Ma bisognerà considerare anche cosa accede ai dati: molte organizzazioni usano connessioni con partner o altre applicazioni, che dovranno essere continuamente monitorate al fine di garantire la compliance. Anche l’outsourcing di servizi a terze parti, come ad esempio la gestione dei cedolini, se riguarda cittadini europei cade sempre sotto la responsabilità dell’azienda.
  1. Definire un processo di reazione agli incidenti. In base alla GDPR, in caso di data breach è necessario notificare il fatto all’Autorità Garante locale: in molti casi la notifica deve avvenire entro 72 ore dalla scoperta della violazione. Una gestione efficace degli incidenti vi metterà nelle condizioni, in caso di violazione, di capire rapidamente cosa sia successo, l’impatto della violazione e come risolverla. La violazione dovrà comunque essere segnalata al Garante e occorrerà contattare i clienti interessati, ma un processo di reazione chiaro ed efficiente renderà tutto più veloce e aiuterà a mitigare i rischi per la reputazione e anche i danni economici.

Riassumendo, dal punto di vista del business assicurare che i dati siano ben protetti ha sicuramente senso. La GDPR è un quadro normativo che descrive come i dati relativi ai cittadini UE debbano essere protetti, ma a questo punto non vale la pena di chiudere il cerchio e adottare best practice per proteggere tutti i dati personali?

La GDPR ci offre l’opportunità di garantire una migliore protezione dei dati e quindi di conquistare la fiducia dei nostri clienti. Approfittiamone per avvantaggiarci rispetto alla concorrenza. Maggiori informazioni , suggerimenti e risorse sono disponibili su www.juniperemea.net/gdpr