5 cose da sapere sul regolamento GDPR
Il 25 maggio 2018 è stata una data importante. È il giorno in cui è entrato in vigore del regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation).
Abbiamo preparato un elenco di 5 aspetti importanti del regolamento GDPR, concentrandoci soprattutto sui possibili effetti sulla vostra azienda.
1) Che cos’è il regolamento GDPR e perché è stato introdotto?
Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) ha introdotto nuove regole che influiranno sulle aziende di tutto il mondo. Oltre che alle aziende situate nello spazio economico europeo, la normativa sarà applicabile anche a quelle che si rivolgono ai mercati o ai consumatori dell’Unione Europea (UE).
In breve, il regolamento GDPR conferisce ai cittadini UE nuovi diritti relativi ai propri dati personali, come il diritto alla portabilità dei propri dati e un accesso più semplice alle proprie informazioni. Questo obbliga le aziende ad assumersi maggiori responsabilità sui dati degli utenti che raccolgono e a compiere ogni sforzo possibile per proteggerli.
La normativa è stata istituita per due motivi. Il primo consiste nel restituire ai cittadini il controllo dei propri dati. Le aziende non saranno più autorizzate a raccogliere tutte le informazioni che desiderano, senza un motivo valido.
In secondo luogo, attualmente ogni paese adotta le proprie leggi interne per controllare i diritti sui dati. Ma cosa succede quando un’azienda con sede in Italia ha clienti in Spagna, Germania e Francia? Quale legge si applica? Il regolamento GDPR eliminerà la confusione e permetterà di identificare più facilmente le norme da seguire, senza eccezioni.
In realtà, in alcuni paesi sono già in vigore leggi molto simili al regolamento GDPR, ma con sanzioni molto meno pesanti. Per i problemi di conformità, il regolamento GDPR prevede sanzioni pesanti: le multe possono arrivare al 4% del volume d’affari annuale o a 20 milioni di euro, a seconda della cifra più alta.
Questo regolamento offre l’opportunità pertanto di dare un valore concreto a quanto possa valere una violazione dei dati personali, se non si è in grado di rilevarla e rimediarla entro 72 ore. C’è quindi la possibilità di giustificare un investimento maggiore in termini di risorse e di tecnologie tale da permettere un uso responsabile dei dati personali propri e di altri.
2) Cosa devo fare se la sede della mia azienda è al di fuori della UE? Devo adeguarmi comunque?
Il regolamento europeo interessa tutte le aziende che si rivolgono attivamente ai clienti e agli utenti che anche solo temporaneamente si trovano nella UE. Pertanto non è la sede dell’azienda che conta ma i dati personali che tratta.
Ma come si può capire? Per determinare se la normativa è applicabile, è possibile procedere in vari modi. Ad esempio, la vostra azienda dispone di un dominio .eu? La vostra pagina Web è tradotta nelle lingue europee? L’euro è tra le valute utilizzate? Avete clienti europei usati come casi aziendali? Se avete risposto “sì” a una di queste domande, significa che dovete rispettare il regolamento GDPR, perché probabilmente la vostra azienda tratta dati di cittadini UE in qualche modo, forma o maniera. Se invece pensate che non vi riguardi, verificate il significato del termine “dati personali” dal punto di vista della normativa. Oltre ai dettagli dei conti bancari, agli indirizzi e-mail e alle informazioni personali sensibili, questo concetto di estende anche agli indirizzi IP. Se pensate al modo in cui molte aziende lavorano con gli indirizzi IP, l’ambito dei soggetti interessati dalla normativa si estende notevolmente.
Dovete considerare il “quadro generale”. Adottando misure per la protezione dei vostri dati, avete molte più possibilità di proteggere l’azienda dalle minacce informatiche. Si tratta di un enorme passo avanti nel modo di concepire la protezione dei dati a livello globale e costituisce un cambiamento positivo per i vostri clienti. Il regolamento infatti non introduce delle “misure minime” di sicurezza bensì chiede alle aziende di applicare un principio preciso ovvero essere in grado di valutare il rischio che si può far correre alla privacy dei dati di cui si tratta.
Si tratta di un enorme passo avanti nel modo di concepire la protezione dei dati a livello globale e costituisce un cambiamento positivo per i vostri clienti.
3) Come essere conformi ai criteri richiesti?
Occorre innanzitutto capire che non è un affare solo del dipartimento legale o tecnologico. È necessario un approccio multifunzione così da poter effettuare un’analisi accurata dei processi di trattamento dei dati personali. Fatto questo è importante individuare dove sono i dati e quali sono i passi da compiere per raggiungere la conformità, perché ci sono alcune linee guida molto specifiche. Fatto questo bisogna confrontare queste informazioni con i vostri processi e le strutture attuali, quindi individuare le eventuali lacune.
Sulla base di questi risultati potete costruire una roadmap. Soprattutto, assicuratevi di sottolineare a tutto il personale dell’azienda l’importanza di adottare un comportamento corretto in ogni momento del trattamento dei dati. Più posticipate questa fase, più rischiate di trovarvi in una situazione difficile da gestire e monitorare.
4) Posso garantire la conformità acquistando una tecnologia specifica?
No. Il regolamento GDPR riguarda i processi e la gestione dei rischi. Anche la tecnologia è importante, ma non esiste un prodotto capace di risolvere tutti i vostri problemi. La tecnologia funziona solo all’interno di un contesto generale perfettamente orchestrato.
Molti pensano ancora che la sicurezza informatica sia un problema tecnologico a cui bisogna dare una risposta tecnologica. Ma non è così. Senza un uso responsabile e consapevole di questa tecnologia non si è in grado di proteggere i dati prima dopo e durante un attacco. I criminali informatici infatti sono diventati sempre più sofisticati nei loro attacchi perché analizzano ogni minima vulnerabilità per trovare il modo di entrare in una rete: la tecnologia da sola non è in grado di fermarli.
Date un’occhiata al nostro Report semestrale Cisco sulla sicurezza informatica per scoprire il livello di sofisticazione a cui sono arrivati i criminali informatici. Le regole del gioco sono cambiate e proteggersi dalle violazioni dei dati deve essere una priorità per tutte le aziende.
Il regolamento GDPR impone alle aziende di nominare un funzionario responsabile della protezione dei dati, denominato DPO – Data Privacy Officer – diverso dal responsabile dei rischi e dalla maggior parte delle altre funzioni IT attuali.
I funzionari responsabili della protezione dei dati hanno un incarico specifico ma, soprattutto, il loro ruolo deve essere esterno al reparto IT e al consiglio di amministrazione, affinché possano fare tutto il necessario nell’interesse della conformità.
Anche in questo caso, ci si deve assicurare che l’azienda riconosca la responsabilità che si assume quando raccoglie e trasferisce i dati di altre persone.
5) Come influisce la normativa GDPR sulla modalità di gestione delle violazioni dei dati?
Attualmente, in alcuni paesi UE, le aziende che subiscono una violazione non sono tenute a informare nessuno. Alcune aziende si sentono eticamente e moralmente obbligate a farlo, soprattutto se la violazione interessa direttamente i clienti.
Con il regolamento GDPR la segnalazione diventa obbligatoria. Chi non segnala una violazione entro 72 ore dovrà pagare una sanzione.
Le aziende che non hanno configurato le tecnologie o i processi appropriati non possono determinare la gravità della violazione.
Pertanto, quando la segnalano e devono rispondere a domande quali “Cos’hanno preso?”, “Come intendete rimediare?” e “Potete assicurare che non si ripeterà?”, non sono in grado di fornire risposte convincenti.
In secondo luogo, il tempo medio necessario per rilevare una violazione in un’azienda secondo il Ponemon Research Institute è di 191 giorni, un periodo incredibilmente lungo. Noi di Cisco abbattiamo questo tempo a 3,5 ore in tutto il mondo. Un risultato notevole.
È molto importante perciò cambiare atteggiamento. Le aziende devono conoscere il panorama attuale delle minacce ed essere preparate a contrastare i tentativi di furto di dati. Occorre un approccio incentrato sul processo di gestione dei dati, che consenta di riconoscere la violazione per poi gestirla correttamente, e questo è proprio l’atteggiamento che il regolamento GDPR tenta di incoraggiare. Ovvero un atteggiamento basato sulla capacità di valutare il rischio.
Per ottenere ulteriori informazioni e scoprire cosa può fare Cisco per aiutarvi a raggiungere la conformità al regolamento GDPR visitate la pagina: www.cisco.com/it/go/gdpr.
Tags:
