Guida GDPR
Il GDPR (General Data Protection Regulation) dovrà essere recepito entro il 25 Maggio 2018 ed è ormai in vigore da Aprile dell’anno scorso. Questo regolamento impone leggi restrittive che riguardano i dati dei cittadini europei. Le vedremo di seguito con la guida GDPR . Molte compagnie sono tutt’altro che preparate. Stando a quanto riportato da un recento studio di Veritas più della metà delle compagnie esaminate (54%) non ha ancora iniziato alcun processo per soddisfare i requisiti minimi del GDPR. Questo studio include più di 2.500 senior manager di compagnie hi-tech.
Un’altra ricerca di Dell e Dimensional Research evidenzia lo stesso tipo di risultato. Stando a quanto espresso dai dati solo il 9% è pronto per il GDPR. Da un altro studio, invece, emerge che le aziende italiane sono pesantemente in ritardo per la ricezione del GDPR (Osservatorio Security & Privacy del Politecnico di Milano)
Cos’è il GDPR?
Il parlamento Europeo ha adottato questo regolamento nell’Aprile del 2016. Ci sono volute 4 anni di discussioni e negoziazioni per la sua stesura. Queste regole rinforzano la protezione dei dati sensibili e non a causa della crescente preoccupazione riguardo la privacy. Chi ha bisogno di essere pronto per questo regolamento? Ogni compagnia con sede legale nell’Unione Europea e tutte le compagnie che hanno sede legale al di fuori dell’UE ma hanno a che fare con dati di cittadini europei.
Questi nuovi regolamenti si integrano con leggi già effettive nei 28 stati membri. Le violazioni del GDPR sono prese molto seriamente con ammende fino a 20 milioni di Euro o fino al 4% del fatturato, se superiore.
Guida GDPR: di cosa hanno paura le compagnie?
Stando al rapporto di Veritas, quasi il 40% delle compagnie pensano di non essere pronte. D’altro canto, il 31% è preoccupato circa il possibile danno di reputazione del brand causato da politiche di trattamento dati poco chiare.
La responsabilità comune è cruciale per evitare che queste paure diventino realtà. Il GDPR implica programmi di conformità che l’intera compagnia deve promuovere. Stando a quanto affermato da AvePoint e Think Tank Centre for Information Policy Leadership (CIPL) le aziende dovrebbero integrare i requisiti di sicurezza dei dati nella totalità del processo produttivo.
Guida GDPR: chi è responsabile?
E’ difficile capire chi sia il responsabile per l’effettiva applicazione delle regole. Il 32% degli intervistati pensa che sia compito del Chief Information Officer (CIO), il 21%, invece, pensa tocchi al CISO (Chief Information Security Officer), mentre il 14% pensa che il responsabile sia il CEO. L’ultimo 10%, tuttavia attribuisce la responsabilità al Chief Data Officer.
Basandosi sul rapporto precedentemente citato tutti questi uomini sarebbero responsabili in egual misura per il trattamento dei dati. “Il GDPR e la conformità della privacy sono strettamente correlate alla strategia riguardo i dati, ai grandi dati e alle analytics. I dati sono necessari, non solo per il business. Questo è il motivo per cui l’applicazione deve essere uno sforzo sinergico. Tutti i dirigenti devono cooperare.
GDPR: avviso di violazione
Gli uomini responsabili per i dati devono informare, entro 72 ore, le autorità circa ogni violazione che possa mettere in pericolo i diritti dei cittadini. Oltretutto, tutte le persone intaccate devono essere avvertite in caso di una violazione ad alto rischio.
Molte aziende hanno già iniziato una procedura per avvertire le autorità e hanno sviluppato un piano interno per dare risposte. “Questo permette loro di rispettare questi nuovi standard. Tuttavia, differentemente dagli Stati Uniti, dove gli alert sono obbligatori in ogni campo, solo una minoranza tra i business ha sviluppato un vero piano per l’avviso delle autorità in comando. Ma c’è di più: la maggior parte delle imprese non ha una cyber insurance.
Guida GDPR: dati ad alto rischio
Quando le aziende utilizzano nuove tecnologie o processano dati ad alto rischio perchè pericolosi per i diritti dei cittadini o per la loro libertà, diventa necessario il DPIA (Data Privacy Impact Assessment). Questo include molte attività che riguardano il processo dei dati. Oltre a questo aspetto, esso riguarda anche il monitoraggio di aree pubbliche (CCTV).
La cosa migliora da fare sarebbe impostare un piano di valutazione del rischio per affrontare la privacy dei dati e garantire la conformità. L’ICO (Information Commissioner’s Office) suggerisce di aggiungere una piccola descrizione delle operazioni di processo dei dati.
Ci dovrebbe essere, inoltre un particolare riflettore sui dati gestiti dai servizi in cloud in locali esterni. I cloud providers devono garantire la conformità del trattamento dei dati in modo da soddisfare il GDPR.
Questo è il motivo per cui i cloud provider hanno lanciato il CISPE. Questa iniziativa garantisce il soddisfacimento degli standard del GDPR da parte di tutti gli aderenti.
Guida GDPR: trattamento dei dati
I nuovi diritti di portabilità dei dati permettono agli individui di spedire i propri dati personali ad altre organizzazioni in un format leggibile. Le compagnie devono proteggere il loro “diritto all’oblio” quando i dati non sono più significativi o necessari.
I regolamenti riguardanti i dati e la loro gestione deve essere rivista in egual maniera. Le persone responsabili devono iniziare a tenere le tracce dell’intero sistema di processo dei dati, con tutte le informazioni catalogate e classificate.
Guida GDPR: un opportunità per la digital economy
Il GDPR può sembrare oppressivo per le compagnie. Tuttavia, questa disposizione legislativa dovrebbe avere un impatto positivo sul pubblico e sulle aziende che hanno a che fare con i dati.
“Il GDPR rappresenta una grande chance per considerare la privacy dei dati in un modo strategico ed olistico in quanto diventa la chiave per la data strategy e la digital transformation del business” dice Bojana Bellamy CEO di CIPL. “Con i giusti regolamenti e la perfetta pianificazione le aziende possono beneficiare di un credito maggiore se gli utenti si fidano della sicurezza dei dati.” Continua Elizabeth Denham: “la digital economy implica che i dati sensibili vengano scambiati e collezionati. La crescita della digital economy necessita della fiducia del pubblico, esso deve essere informato riguardo la sicurezza dei dati.”
Qual è la soluzione?
La conformità è un problema molto serio per tutte le compagnie Europee e non. Come può essere affrontata? Swascan permette di essere protetti e conformi al regolamento GDPR. Questo strumento innovativo ha a che fare con la gestione del rischio, l’ICT security e l’information security. Una prova gratuita è disponibile sul nostro sito in modo da non doversi più preoccupare di cybersecurity e rispetto del regolamento GDPR.
Riguardo a Swascan
In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato la piattaforma di CyberSecurity testing, in Cloud, SaaS e Pay for Use. I nostri servizi garantiscono la corretta gestione del rischio e valutazione periodica in linea con la compliance legislativa e con le best practise di settore. Garantisce l’analisi del rischio tecnologico attraverso servizi e strumenti online automatizzati di Vulnerability Assessment, Network Scan e la Code Review. Infine, non dimenticare il GDPR Data Protection ( Infografica Data Privacy ): la nostra piattaforma è al 100% GDPR compliant e offre uno strumento cruciale per colmare il gap con la normativa: il GDPR Assessment