Il GDPR è una nuova normativa in vigore nell’Unione Europea che protegge il diritto alla privacy degli individui e definisce come devono essere gestiti e protetti i loro dati nel rispetto delle scelte individuali. Esso dà alle persone maggiore controllo sui propri dati personali, assicura trasparenza sul loro utilizzo, e impone sicurezza e controlli per la loro protezione.
La privacy è un elemento fondamentale in Europa, è una garanzia di libertà delle persone e l’UE è vista come un modello di riferimento e una guida su questi temi nel mondo, per cui ci si aspetta che anche altri paesi possano adottare una normativa simile in futuro.
Una normativa come il GDPR si è resa necessaria nel momento in cui è diventato sempre più evidente il valore dei dati in quella che viene definita ormai l’economia delle informazioni, e il loro sfruttamento: essi ci permettono di fare di più e meglio, di creare nuovi servizi per le persone, di fare innovazione tecnologica; per questo è importante poterli utilizzare, ma l’uso deve essere corretto, consapevole, e soprattutto autorizzato.
E non a caso, a conferma di questo loro valore, su di essi si concentrano gli attacchi degli hacker, sempre più assillanti, organizzati e dannosi, le richieste di riscatto, e anche gli attacchi tra paesi.
La chiave alla radice di tutto questo è la FIDUCIA.
E’ fondamentale avere la fiducia dei propri clienti, dei propri fornitori e dei propri partner sul come sapremo proteggere ed utilizzare i loro dati per avere la loro autorizzazione a poterli trattare; altrimenti essi resteranno inaccessibili e il loro valore resterà inespresso. E’ quindi importante assicurare ai nostri interlocutori trasparenza e responsabilità nella gestione dei loro dati: la sicurezza è una garanzia per loro, oltre che l’adempienza di una normativa; è un valore per le aziende, che grazie alla fiducia potranno utilizzare i dati per creare e offrire nuovi beni e servizi, ed è un bene complessivo che va a proteggere tutte le informazioni in azienda, non solo i dati rilevanti ai fini del GDPR E la compliance, come la sicurezza, non sono un’attività di un momento, sono il risultato di un processo sempre attivo
Il 25 maggio 2018 scadranno i termini per adeguarsi al nuovo regolamento europeo sulla privacy dei dati (GDPR), regolamento in vigore dall’aprile 2016.
Questo significa che i cittadini potranno esercitare i propri diritti nei confronti delle aziende che trattano i loro dati personali a iniziare da questa data e che le aziende dovranno avere già in essere le procedure e gli strumenti in grado di rispettare i diritti dei cittadini europei. Le perdite o furti di dati o l’incapacità di rispettare il “diritto all’oblio” non solo spezzano il legame di fiducia con i propri clienti, ma comportano il rischio di pesanti sanzioni.
Per verificare l’aderenza dei propri processi alla normativa si possono analizzare quattro aspetti chiave:
- ricerca: la capacità di identificare dei dati personali presenti in azienda e la loro dislocazione
- gestione: il governo delle modalità in cui i dati sono acceduti e utilizzati
- protezione: l’impostazione di controlli di sicurezza per prevenire, intercettare e rispondere a vulnerabilità e furti di dati
- documentazione: la capacità, come richiesto dalla normativa, di rispondere a richieste di dati e di relazionare in modo puntuale e tempestivo su furti di dati
Il GDPR introduce il concetto di “protezione dei dati fin dalla progettazione” e di “protezione per impostazione predefinita”. Tutte queste importanti novità richiedono quindi di ripensare l’organizzazione e le tecnologie di sicurezza e resilienza applicate in azienda.
“Maggio 2018: sembra una data lontana ma mancano meno di 18 mesi al momento in cui le aziende dovranno dimostrare di essere conformi a quanto richiesto dalla normativa GDPR. La privacy non è un argomento che si possa liquidare velocemente e mettere a punto tutte le politiche aziendali atte a proteggerla richiede impegno e tempo, soprattutto alla luce dei recenti dati raccolti dall’Osservatorio Security & Privacy del Politecnico di Milano che evidenziano come solo un’azienda italiana su cinque conosca nel dettaglio le implicazioni del General Data Protection Regulation. Sono pochissime inoltre – solo il 9% – quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza – il 46% – hanno in corso un’analisi dei requisiti richiesti”.
Finora le aziende se la sono sempre cavata con poche conseguenze nel caso di perdita di dati di clienti o dipendenti, ma il GDPR imporrà multe salate ai trasgressori, con importi particolarmente gravosi se a doverli corrispondere saranno le pmi, che notoriamente possono contare su risorse più esigue rispetto alle grandi realtà. Tra l’altro sono proprio le aziende più piccole che correranno rischi maggiori quando il regolamento sarà effettivo: le
autorità europee competenti saranno infatti propense a punire in modo esemplare le aziende che subiranno perdite di dati dopo l’entrata in vigore del GDPR, come monito per tutte le aziende che non si saranno adeguate alla normativa.
Ecco dunque i suggerimenti:
1. Non trattate l’argomento privacy e il GDPR con condiscendenza, si tratta di questioni molto serie che come tali vanno affrontate;
2. Prendetevi il tempo di capire approfonditamente ciò che implica l’entrata in vigore del GDPR per la vostra azienda e valutate i vari passaggi che dovrete affrontare, rivolgendovi al vostro IT manager e coinvolgendo anche i consulenti legali se avete dei dubbi;
3. Lavorate fianco a fianco con le Risorse Umane per essere certi che i vostri dipendenti capiscano appieno il processo messo in atto dall’azienda per proteggere i loro dati sensibili;
4. Verificate che i vostri dipendenti siano consapevoli di ciò che vi aspettate da loro quando si parla di protezione dei dati custoditi in azienda. Spiegate loro che i clienti dipendono anche dal loro impegno nel proteggere i dati proprio come loro dipendono dai responsabili delle Risorse Umane per la tutela delle loro informazioni personali;
5. Non date ai vostri dipendenti accesso a dati che non sono necessari allo svolgimento delle mansioni di loro competenza. Il nuovo GDPR prevede infatti che anche semplicemente leggere dati sensibili venga classificato come una violazione dei dati.
6. Se raccogliete dei dati…proteggeteli! Trattate tutti i dati come se fossero dati personali e evitate di raccogliere e dunque custodire dati non necessari al vostro business. I cybercriminali non potranno rubarvi ciò che non avete.
7. Usate il vostro rispetto per la privacy dei clienti a vostro vantaggio, fornendo informazioni precise su quali dati state raccogliendo, a quale scopo e per quanto tempo intendete conservarli. Non usate termini incomprensibili ma spiegatelo in modo semplice. Le persone avranno molta più fiducia in voi e nella vostra azienda se percepiranno la vostra onestà e trasparenza.
8. Assicuratevi che le password utilizzate siano univoche e mai condivise. Ciò rende più difficile il furto dei dati e protegge da accessi impropri a dati che portano a violazioni della privacy;
9. Utlizzate l’encryption per proteggere i dati da ladri e occhi indiscreti; tale tecnologia diventerà imprescindibile per adempiere ai requisiti del nuovo GDPR
Scarica qui il testo completo: GDPR – Pacchetto protezione dati pubblicato sulla GU Ue il 4 maggio 2017