Il regolamento europeo GDPR (General Data Protection Regulation) è già in vigore e obbliga le aziende a controllare dove i dati personali sono e a garantire che siano protetti.
Bisogna capire che si tratta di regolamento e non normativa pertanto è già attivo ed operante anche se c’è tempo fino al 25 maggio del 2018 per mettersi in regola dopodichè chi non lo avrà fatto sar soggetto a sanzioni pecuniarie fino a 20 milioni di € o fino al 4% del fatturato.
Cosa prescrive il regolamento Gdpr
Inizialmente il GDPR prescrive che si facciano internamente delle valutazioni documentate di impatto del rischio, sulla base delle infrastrutture e dei sistemi esistenti. Per questi il regolamento prevede che si applichi il principio del Privacy by design e by default: ogni nuovo sistema deve essere aderente al regolamento.
Il regolamento stabilisce che il consenso al trattamento dei dati si valido ed esplicito e può essere revocato.
Impartisce anche di identificare una figura aziendale che si assuma il compito di Data Protection Officer. Le aziende che hanno più stabilimenti, lontani fra loro, devono averne più di uno.
In caso di violazione dei dati, bisogna spiegare e documentare come si intende reagire informando l’autorità di vigilanza entro 72 ore dalla violazione.
Il GDPR sancisce il diritto alla cancellazione dei dati e il diritto all’oblio e la portabilità dei dati da un sistema di comunicazione all’altro, anche al di fuori della UE.
Le domande a cui rispondere
Il GDPR impone che di fronte all’autorità si sappia rispondere a varie richieste da parte del regolatore:
- dove sono i dati,
- che valutazione del rischio è stata fatta,
- esibire un report che dice dove sono i dati, in che modo sono stati tracciati.
Ma bisogna anche saper rispondere a questioni di fronte all’azienda:
- far capire cosa è un dato personale,
- come lo si identifica,
- come si controllano i diritti di accesso,
- effettuare un log delle attività,
- come si gestisce la duplicazione senza contrastare il diritto all’oblio.
Cinque Aree di intervento
Sono cinque le aree di intervento per l’azienda in ordine all’attuazione del GDPR.
- Accesso ai dati fisici.
- Identificazione dei dati personali.
- Governo dei dati: le policy.
- Protezione dei dati, quali strumenti usiamo per anonimizzare (rimozione dati) pseudonimizzare (sostituzione di dati personali, tipicamente quando si fanno test applicativi) e crittografare (codifica dei dati personali)
- Controllo interno delle procedure applicate.
Per implementare il GDPR dal punto di vista tecnologico va fatto il match con tecnologie e le policy esistenti in azienda.