GDPR: privacy e compliance, oltre la data security

Entro il 25 maggio è necessario istituire il registro dei trattamenti, verificare informative e consensi, abilitare processi di risk assessment, verificare che le misure di sicurezza messe in atto siano adeguate.

È inoltre importante definire una governance per la privacy che interessi il Titolare, i Responsabili del trattamento e il Data Protection Officer. Come prescritto dalla norma, alle società è richiesta la redazione di un piano per la corretta gestione del rischio cyber ed un corretto processo di protezione dei dati utilizzati. Ciò comporta la messa in pratica, da parte delle organizzazioni, di un piano strategico di cyber security che vada a mettere in sicurezza tutti i vari livelli dell’organizzazione attraverso l’adozione di tecnologie e processi avanzati adeguati al grado di rischio di Data Breach e conformi ai principi generali sanciti dal regolamento; in primis quello di accountability e di data protection by default e by design.

GDPR: privacy e compliance, oltre la data security

Per chi sviluppa da zero una infrastruttura, ma anche e soprattutto per le attività già in essere, è essenziale progettare seguendo i canoni “Privacy By Design” e “Privacy By Default”. La Privacy è, di fatto, il fulcro della norma e il sistema che sta per entrare in vigore nasce per proteggere i diritti fondamentali dei cittadini.
Il cittadino interessato deve infatti poter esercitare senza vincoli una serie di attività sui propri dati immagazzinati presso l’azienda. Deve essere possibile accedere ai dati, così come deve essere consentita la rettifica, l’opposizione, la sospensione e il diritto all’oblio.

Oltre alle attività e agli adempimenti richiesti a livello organizzativo, il GDPR impone la Data Breach Notification, una procedura che scatta entro le 72 ore da un cyberattacco e dalla conseguente perdita di dati. La comunicazione al garante deve avvenire corredata di informazioni dettagliate che contengano le misure di protezione messe in atto. Prima che ciò avvenga è importante effettuare il Privacy impact assessment, una valutazione di impatto privacy per un successivo invio al garante.
In caso di esfiltrazione o perdita dei dati gli interessati dovranno essere informati, l’azienda incorrerà in penali e sanzioni commisurate al danno arrecato.
In ambito PA si passa dai 10 ai 20 mln di euro, mentre per le imprese si considera un range dal 2% e il 4% del fatturato mondiale annuo del Gruppo.
Ma bisogna guardare oltre la possibile “multa”. Oltre all’onere sanzionatorio, la vera perdita per le aziende è subire un attacco informatico.

A poche settimane dall’attuazione della norma, quasi il 75% delle aziende italiane sembra aver creato una procedura per notificare le violazioni di dati, ma solo il 49% ha aumentato gli investimenti in IT Security. Tra le sfide maggiori per riuscire a essere compliance al nuovo regolamento europeo, le aziende lamentano infatti la presenza di troppi sistemi IT legacy (30%), la mancanza di una data security efficiente (29%) e l’assenza di processi formali che rendano possibile identificare chiaramente a chi appartengono e dove sono custoditi i dati (28%).

Molte aziende non sono preparate a gestire la notifica di avvenuta violazione entro 72 ore. Il 20% ha infatti affermato di avere dei processi formali per notificare la violazione, ma solo alle autorità competenti. E l’Articolo 34 del GDPR afferma che anche gli individui devono essere avvisati, poiché una violazione di dati mette a rischio i loro diritti e la loro libertà.
Ci sono dei dubbi anche sul diritto all’oblio, una parte chiave del GDPR. Nonostante l’87% dichiari di avere un processo per supportare i clienti nel caso i dati siano gestiti dall’azienda, ci sono dei limiti quando vengono coinvolti i fornitori. 1 azienda su 5, infatti, non ha o non è a conoscenza dei processi per gestire in maniera corretta il diritto all’oblio, nel caso di dati gestiti da agenzie (21%), cloud provider (32%) e partner (19%).
Le minacce sono sempre più complesse e il GDPR complica ulteriormente la vita delle aziende, che rischiano ingenti multe. È necessaria una tecnologia che protegga i dati su più livelli. Il GDPR afferma che le aziende devono implementare le tecnologie di ultima generazione in relazione al rischio che si corre. Nonostante questo, solo il 34% delle aziende ha implementato soluzioni avanzate per identificare le intrusioni, solo il 33% ha investito nella prevenzione delle perdite di dati e solo il 31% ha adottato tecnologie di crittografia.

Sommario