ESSERE PRONTI PER IL GDPR

Il General Data Protection Regulation (GDPR, o Regolamento sulla protezione dei dati generali) ntrerà in vigore il 25 Maggio 2018 e riguarderà tutte le organizzazioni che elaborano i dati personali dei residenti europei. In caso di mancata osservanza di tale regolamento, le aziende potranno essere condannate a multe fino a 20 milioni di euro o del 4% delle loro entrate globali.

Così, al fine di gestire e minimizzare tale rischio, Cluster Reply in partnership con Microsoft ha identificato una migliore pratica per assicurare un approccio fondato su principi alla gestione della privacy e alla sicurezza dei dati personali. Questa migliore pratica va sotto il nome di “Essere pronti per il GDPR”.

Introduzione

Il General Data Protection Regulation (GDPR) è un regolamento riguardante la privacy nato dall'evoluzione della Data Protection Directive (DPD).

La DPD risale al 1995 e richiede che gli Stati membri della UE sviluppino leggi in grado di soddisfare i severi standard minimi che tengono conto dell'uso di computer e dispositivi elettronici per l'elaborazione dei dati personali. Nel corso del tempo, tuttavia, questa direttiva ha condotto a molti svantaggi e incoerenze, come l'impossibilità di proteggere i diritti individuali e la privacy dalla costante marcia del progresso tecnologico. Pertanto, e al fine di superare tali svantaggi, è stato creato il GDPR.

Dalla prospettiva delle aziende e delle organizzazioni, il GDPR rappresenta un’autentica rivoluzione, poiché implica la revisione e la ridefinizione di tutte le politiche e le procedure organizzative esistenti, oltre che all'implementazione di nuovi e adeguati controlli di sicurezza. Questo accade perché sono stati introdotti molti nuovi requisiti obbligatori, come:

• Privacy by design. Le aziende devono minimizzare la raccolta di dati personali, cancellare i dati non più necessari, limitare l'accesso ai dati e, più in generale, assicurare i dati durante il loro intero ciclo di vita.
• Notifica di violazione. Le aziende dovranno informare le autorità sui dati entro 72 ore dopo la scoperta di una violazione dei dati personali. Se i dati pongono un rischio rilevante per i diritti e la libertà individuale, i soggetti dei dati dovranno anch'essi essere comunicati.
• Multe. È stata definita una struttura di penalità a più livelli che andrà a intaccare una fetta rilevante dei fondi del trasgressore. Anzi, le violazioni più gravi possono prevedere multe fino al 4% delle entrate globali dell'azienda. Ciò può includere le violazioni di principi basilari relativi alla sicurezza dei dati. Una multa di minore entità pari al 2% delle entrate globali - si tratta comunque di una cifra enorme - può essere comminata se i registri dell'azienda non sono in ordine o se di una violazione non è stata informata l'autorità di supervisione o i soggetti dei dati.

Il GDPR, quindi, rappresenta qualcosa che ogni organizzazione deve prendere in considerazione e affrontare in maniera strutturata e ben definita. Solo in questo modo è possibile uscirne vincitori.

Applicazione

“Essere pronti per il GDPR” è la pratica di sicurezza che Cluster Reply e Microsoft hanno creato per supportare le organizzazioni nella loro ricerca della compliance. Basando il proprio funzionamento e la propria configurazione sulla migliore tecnologia Microsoft e sulla competenza di Cluster Reply, consente alle aziende di affrontare e superare con successo le sfide del GDPR.

Il principio alla base di questa pratica consiste semplicemente nel suddividere l'intero processo di compliance in quattro fasi principali:

• Scoperta. Le organizzazioni devono identificare quali dati personali possiedono e dove si trovano. Anzi, il primo passo verso la compliance con il GDPR deve sempre essere la valutazione dell'applicabilità del GDPR, e, in caso affermativo, in che misura.
• Gestione. I dati personali appartenenti a un’organizzazione data devono essere gestiti in modo tale da definire chiaramente come vengono usati e come si effettua l'accesso. Il GDPR, anzi, offre ai singoli individui un maggiore controllo su come i loro dati vengono catturati e usati. Essi potranno, per esempio, richiedere che un'organizzazione condivida i dati che fanno loro riferimento, oltre a trasferire i propri dati ad altri servizi, correggere gli errori esistenti, o limitare l’ulteriore elaborazione di dati specifici. In alcune circostanze, inoltre, tali richieste devono essere comunicate entro periodi di tempi prefissati. Diviene pertanto fondamentale per un'azienda definire e sviluppare un piano di governo dei dati per descrivere politiche, ruoli, responsabilità e procedure per l'accesso, la gestione e l'uso dei dati personali al fine di garantire che le pratiche di gestione dei dati osservino le istruzioni del GDPR.
• Proteggere. Le aziende devono implementare i controlli di sicurezza per prevenire, rilevare e rispondere alle vulnerabilità e alle violazioni dei dati. Il GDPR, anzi, richiede che le organizzazioni predispongano adeguate misure per proteggere i dati personali dalla perdita o dall'accesso o dalla diffusione non autorizzate.
• Notifica. Le aziende devono agire in caso di richiesta dei dati, comunicare le violazioni dei dati e mantenere la documentazione richiesta. Sotto questo aspetto, il GDPR pone nuovi standard di trasparenza, responsabilità e tenuta dei registri. Un’organizzazione dovrà essere più trasparente non solo in merito a come gestisce i dati personali, ma anche su come mantiene una documentazione che definisce i processi e l'utilizzo dei dati. Le organizzazioni che elaborano dati personali dovranno mantenere registri sulle finalità dell'elaborazione; le categorie dei dati personali elaborati; l'identità delle terze parti con cui i dati sono condivisi; se (e quali) paesi terzi ricevano dati personali, e le basi legali di tali trasferimenti; le misure di sicurezza tecnica e organizzativa; e i tempi di conservazione dei dati applicabili ai vari dataset.

Scoprire, gestire, proteggere e informare sui dati personali rappresentano quattro attività obbligatorie per essere in grado di rispondere in modo adeguato ai requisiti imposti dal GDPR. La pratica "Essere pronti per il GDPR" prende in esame tali questioni e consente alle organizzazioni di ottimizzare i propri processi di compliance e di essere preparate a salvaguardare i diritti dei propri clienti e partner.

Vantaggi

Come descritto in precedenza, la pratica di sicurezza "Essere pronti per il GDPR" costituisce un approccio strutturato al problema di conseguire la compliance con il GDPR. In quanto tale, consente alle aziende di essere organizzate e preparate nell'affrontare tali fondamentali attività.

L'organizzazione e la preparazione, tuttavia, non sono le sole funzionalità disponibili. Anzi, prima di esse esistono due elementi essenziali: la tecnologia Microsoft e il know-how Cluster Reply.

Essendo un'azienda IT leader, Microsoft ha sviluppato nel tempo un’estesa competenza nella protezione dei dati, nel supporto della privacy e nel rispetto di complessi regolamenti. I suoi prodotti sono progettati con misure di sicurezza e politiche di privacy leader nel settore per salvaguardare i dati dei clienti, e suoi servizi sono stati definiti per aiutare a soddisfare i requisiti GDPR.

Da parte sua, e in qualità di Microsoft Gold Certified Partner, Cluster Reply emerge nell'adozione e nella gestione di questi prodotti e servizi, e con la sua competenza più che decennale eccelle nell'aiutare i clienti nel raggiungere i propri obiettivi di business sfruttando la tecnologia Microsoft.

Questo duplice vantaggio sarà il vero motore che consentirà ai clienti di arrivare al successo, aiutandoli infine a superare i timori nei confronti del GDPR.

Conclusioni

Conformarsi al General Data Protection Regulation richiede l'implementazione di un esteso set di attività differenti, le quali, da parte loro, implicano la necessità di un’attenta pianificazione e richiedono una competenza approfondita..

Attraverso la definizione di un quadro ben strutturato e la conoscenza dell'avanzata tecnologia Microsoft, la pratica di sicurezza "Essere pronti per il GDPR" di Cluster Reply mira a supportare le organizzazioni nell'affrontare tale sfida e uscirne vincitrici.

Lo scopo finale che sta dietro la definizione di questa pratica di sicurezza consiste nell'aiutare i clienti a raggiungere i propri obiettivi in merito a policy, persone, processi e tecnologie, facilitando l'avvio del loro percorso in direzione del GDPR.