Per applicare bene il GDPR serve un nuovo assetto tecnico

Internet delle cose Privacy

Mancano ancora diversi mesi all’applicazione del GDPR (General Data Protection Regulation, regolamento EU 2016/679), prevista il 25 maggio 2018. Apprensioni e pressioni sul tema sono inevitabili, vista la portata del regolamento, che richiede alle aziende con residenza nell’UE o che gestiscono dati di persone residenti nell’UE di rivedere il proprio assetto tecnico e organizzativo, per adottare le misure di Data Protection adeguate.

Quale approccio devono avere, le aziende, per conformarsi alle richieste del GDPR? Innanzitutto, devono essere in grado di assicurare la corretta gestione dei dati personali, secondo due principi fondamentali: by design, cioè fin dalle fasi iniziali della progettazione delle soluzioni che elaborano dati personali; e by default, cioè tramite una gestione sicura del dato che implichi la massima protezione possibile.

Abbiamo sentito al riguardo il parere di Alberto Scavino, ceo di Irion, software house specializzata nell’Enterprise Data Management.

In generale, sostiene Scavino, possiamo dire che il GDPR richiede alle aziende di avere un atteggiamento proattivo, volto a prevenire gli utilizzi illeciti dei dati personali: il tema della sicurezza passa infatti da una logica di misure minime a una logica di misure adeguate in base ai rischi corsi e, nei casi previsti, alla valutazione di impatto.

Scendendo più nel dettaglio, le richieste del GDPR, a livello organizzativo, prevedono anche l’istituzione della nuova figura del Data Protection Officer (DPO), responsabile della protezione dei dati. Tra le ulteriori principali prescrizioni abbiamo invece la redazione del Registro delle attività, l’analisi dei rischi e la valutazione d’impatto, l’adozione di misure che garantiscano un livello di sicurezza adeguato al rischio, la predisposizione di una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative (al fine di garantire la sicurezza del trattamento) e infine l’adeguamento del processo di gestione delle violazioni.

Alberto Scavino, ceo di Irion

Vengono inoltre suggerite, come possibilità, l’adesione a un Codice di Condotta da parte del titolare e del responsabile del trattamento, e l’adesione a un meccanismo di certificazione, sempre da parte del titolare e del responsabile del trattamento, così da poter dimostrare il rispetto di tutti gli obblighi.

Perché serve l'enterprise data management

Per adempiere a tutte queste funzioni, secondo Scavino diventerà quindi sempre più fondamentale, per realtà operanti in diversi settori, dotarsi di un valido sistema di enterprise data management. Una piattaforma, quindi, che abbia funzionalità di data governance, e sia in grado di creare una mappatura dei rischi e di valutazione d’impatto per i trattamenti, di categorizzare i dati rispetto alle tipologie di dati personali trattate e alla loro finalità, di configurare ed eseguire le regole per la verifica dei tempi di conservazione dei dati, dell’esattezza dei dati e dell’utilizzo minimo dei dati in funzione della finalità.

Per salvaguardare le informazioni sensibili, rileva Scavino, può rivelarsi necessario lo sviluppo di una delle misure per la protezione dei dati in realtà suggerite dalla normativa stessa: ovvero la “pseudonimizzazione”, per l’utilizzo di dati con diverse finalità, altrimenti detta data masking.

Un motore di masking

La piattaforma Irion, sottolinea Scavini, assolve questa funzione attraverso il potente motore di “masking”, che può essere utilizzato come layer intermedio fra i processi di acquisizione, normalizzazione ed elaborazione dei dati e la loro visualizzazione e pubblicazione per l’analisi e la consultazione. Grazie a questo motore è infatti possibile creare logiche di masking sofisticate, che preservino la coerenza e l’integrità referenziale fra le informazioni di diversi dataset; si possono inoltre elaborare e costruire processi di mascheratura batch o real time, nel caso in cui l’esposizione dei dati debba lavorare in un’ottica a servizi (Data API) o anche nel caso in cui si debbano alimentare altri ambienti dati (sviluppo, test) con campioni significativi dei dati in produzione. Sarà quindi essenziale dotarsi di una piattaforma per l’enterprise data management che abbia integrate le funzionalità fondamentali per la data governance, la data quality ed il masking.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here