Come prepararsi alla General Data Protection Regulation  

 

La crescita degli attacchi di Business Email Compromise (Bec) e lo sfruttamento di vulnerabilità nell’IoT in continuo aumento impongono alle aziende un’attenzione importante alla protezione dei dati. Per contrastare questo fenomeno, sul fronte normativo il Regolamento UE 2016/679 sulla General Data Protection Regulation (Gdpr) indica le linee da seguire sulla gestione e la protezione dei dati. Il nuovo insieme di regole coinvolgerà direttamente le aziende sia dentro che fuori l’Europa e il momento della sua entrata in vigore definitiva, prevista per il maggio 2018, è sempre più vicino. Molto è già stato detto sulla Gdpr, ma l’idea e il processo fondamentale che devono sussistere dietro a questa nuova normativa è pensare a quali dati servono veramente e sono pertinenti al business di un’organizzazione. Per esempio è possibile che il dato relativo alla data di compleanno di un cliente non sia necessario e si potrebbe anche eliminare dagli archivi. I database vanno quindi ripensati e ristrutturati e mentre la Gdpr deve essere ancora finalizzata ci sono dei cambi che le aziende possono e devono effettuare per arrivare preparate.

Conoscere le criticità

Molte aziende in tutto il mondo dovranno adattarsi alle nuove regole e alcuni cambiamenti saranno critici. Ecco  alcune delle delle criticità relative alla compliance che le aziende potrebbero affrontare. Penalità e multe. La Gdpr impone che la non conformità o la violazione alla normativa possa costare alle aziende fino al 5% del fatturato o 100 milioni di Euro. Notifica delle violazione di dati. La nuova normativa richiede alle aziende di dichiarare le violazioni di dati entro 21-72 ore. Diritto all’oblio. Per questo meglio conservare solo i dati strettamente necessari. Diritto all’informazione e alla trasparenza. I clienti dovrebbero avere una chiara consapevolezza su come vengono conservati e utilizzati i loro dati personali. In alcuni Paesi le aziende non dovrebbero fare molta fatica a mettersi in regola, a causa delle norme già esistenti, in altri è possibile che si registri un aumento dei costi amministrativi. E’ interessante sapere che in Europa le aziende sono preoccupate, mentre negli Stati Uniti pensano che dovranno pagare multe perché non possono rispettare la conformità. Il rischio non sarà rappresentato solo dalle sanzioni economiche, in casi estremi si può andare in prigione e il danno reputazionale sarebbe enorme. Studi legali potrebbero addirittura arricchirsi trovando clienti disposti a testimoniare contro le aziende non conformi.

Tre consigli per essere pronti

Conoscere dove sono custoditi i propri dati. La normativa afferma che “i dati personali devono essere adeguati, rilevanti e non eccessivi in relazione al proposito o ai propositi per i quali sono processati”. A questo proposito meglio non conservare più informazioni di quelle necessarie. Utilizzare dei controlli di sicurezza ben definiti. Meglio rivalutare le policy di sicurezza e investire in un provider che può offrire la crittografia dei dati in cloud, la sicurezza delle reti, antimalware avanzato, Ids/Ips virtual patching e data loss prevention. Nominare un Data Protection Officer (Dpo). In linea con i requisiti della Gdpr, meglio capire se la propria azienda deve assumere un Dpo. Se si è un’enterprise e non una Pmi, è molto probabile. Il Dpo aiuterebbe il dipartimento It e il board a migliorare i processi e la sicurezza in relazione alla protezione dei dati

*Carla Targa è marketing and communication manager  di Trend Micro Italia

Pubblica i tuoi commenti