Il regolamento europeo GDPR (General Data Protection Regulation) è già in vigore e obbliga le aziende a controllare dove i dati personali sono e a garantire che siano protetti.
Luciano Meschi, Advisory industry consultant di SAS ha sottolineato, giustamente, che trattasi di Regolamento e non normativa. Pertanto è già attivo e operante: c’è tempo fino al 25 maggio del 2018 per mettersi in regola. Alla data di oggi, quindi, mancano 471 giorni alla scadenza attuativa.
Dopodichè chi non lo avrà fatto sarà soggetto a sanzioni pecuniarie fino a 20 milioni euro o 4% del fatturato.
Cosa prescrive il regolamento Gdpr
Inizialmente il GDPR prescrive che si facciano internamente delle valutazioni documentate di impatto del rischio, sulla base delle infrastrutture e dei sistemi esistenti. Per questi il regolamento prevede che si applichi il principio del Privacy by design e by default: ogni nuovo sistema deve essere aderente al regolamento.
Il regolamento stabilisce che il consenso al trattamento dei dati si valido ed esplicito e può essere revocato.
Impartisce anche di identificare una figura aziendale che si assuma il compito di Data Protection Officer. Le aziende che hanno più stabilimenti, lontani fra loro, devono averne più di uno.
In caso di violazione dei dati, bisogna spiegare e documentare come si intende reagire.
Va informata lautorità di vigilanza entro 72 ore dalla violazione.
Il GDPR sancisce il diritto alla cancellazione dei dati e il diritto all’oblio e la portabilità dei dati da un sistema di comunicazione all’altro, anche al di fuori di UE.
Le domande a cui rispondere
Il GDPR impone che di fronte all’autorità si sappia rispondere a varie richieste da parte del regolatore: dove sono i dati, che valutazione del rischio è stata fatta, esibire un report che dice dove sono i dati, in che modo sono stati tracciati.
Ma bisogna anche saper rispondere a questioni di fronte all’azienda: far capire cosa è un dato personale, come lo si identifica, come si controllano i diritti di accesso, effettuare un log delle attività, come si gestisce la duplicazione senza contrastare il diritto all’oblio.
Cinque Aree di intervento
Sono cinque le aree di intervento per l’azienda in ordine all’attuazione del GDPR.
Accesso ai dati fisici.
Identificazione dei dati personali.
Governo dei dati: le policy.
Protezione dei dati, quali strumenti usiamo per anonimizzare (rimozione dati) pseudonimizzare (sostituzione di dati personali, tipicamente quando si fanno test applicativi) e crittografare (codifica dei dati personali)
Controllo interno delle procedure applicate.
Per implementare il GDPR dal punto di vista tecnologico va fatto il match con tecnologie e le policy esistenti in azienda.
«Si tratta di una normale attività progettuale consulenziale», spiega Meschi.
SAS propone una soluzione basata su componenti di data management, data federation, soluzione per i rischi operativi.
«Noi forniamo un acceleratore», dice Meschi. Sta all’azienda capire che implementare il GDPR apre non solo alla compliance, ma anche a nuovi business, perché i dati sicuri e certi sono un valore.
Ottimo articolo. Segnalo un post interessante:
https://www.adremsoft.com/blog/view/blog/10905819293987/7-proactive-ways-of-monitoring-your-network-in-order-to-stay-compliant-with-gdpr