Perché è così importante la conformità al GDPR?

Perché è importante la conformità al GDPR?

Il GDPR impone il ripensamento o l’adeguamento delle dinamiche operative e dei sistemi IT; in questo il cloud può essere davvero di aiuto.
Il GDPR è un tema che è stato ampiamente dibattuto negli ultimi due anni e, a pochi giorni dalla sua attuazione, non è più il momento di valutare se adeguarsi oppure no. È, piuttosto, il momento di considerare il reale impatto della norma e, per chi ancora non avesse aperto gli occhi, di capire i vantaggi che la General Data Protection Regulation porta con sé.

Troppo spesso si è parlato di GDPR come ulteriore fardello per le imprese, come se fosse una sorta di tassa più o meno occulta che ogni società si trova a dover pagare. In realtà, a fronte di investimenti che dovranno certamente essere portati a termine, la norma consente alle realtà imprenditoriali, a più livelli, di capire meglio e più in profondità i meccanismi del proprio business.
Capita sovente, infatti, di “scoprire” attività o task aziendali (magari anche cruciali), solo quando si fanno verifiche approfondite, per scopi conoscitivi aziendali o in seguito a controlli da parte di enti terzi. Troppo frequentemente il flusso delle informazioni e la strada che compiono i dati non risultano adeguatamente tracciati, con il rischio che questi asset vengano persi, esfiltrati, distorti.

In quest’ottica il GDPR aiuta le aziende, tracciando il percorso da seguire e le best practice.
La norma impone alle aziende requisiti e obblighi: molte realtà dovranno rivedere o modificare la gestione dei dati, con un’attenzione particolare alla privacy e alla sicurezza del processo. In questo senso, l’applicazione delle differenti disposizioni dovrebbe essere interpretata dalle imprese come un’opportunità per aggiornare meccanismi di lavoro e gestione del dato obsoleti (e insicuri).
Diventa dunque fondamentale progettare reti e infrastrutture secondo la logica “Privacy By Design” e “Privacy By Default”. Non a caso, proprio la privacy rappresenta il nucleo fondante della norma; il sistema che sta per entrare in vigore nasce per proteggere i diritti fondamentali dei cittadini.

Si ha dunque una nuova classificazione dei dati personali, quelli che riguardano direttamente o indirettamente una persona fisica, come per esempio un numero identificativo (vedi codice fiscale, codice bancario). Le categorie particolari includono i dati sensibili come: l’origine etnica, la religione, gli aspetti filosofici e lo stato di salute (in questo contesto l’età e il patrimonio economico non sono considerati dati sensibili).
Tra le nuove categorie rientrano i dati biometrici, che specificano caratteristiche fisiche e fisiologiche, e possono essere statici o dinamici, come l’impronta digitale o l’iride, la firma o la camminata di un soggetto.
In questo senso i parametri previsti dal GDPR si applicano ai dati delle persone in azienda e ai clienti della stessa.

Secondo quanto stabilito dall’UE, è altrettanto importante il concetto di “Accountability”, ovvero il principio di responsabilizzazione e documentazione. Diventano così cruciali i processi di documentazione delle attività e di trattamento dei dati. In questo senso esistono ruoli specifici, a partire dal Responsabile del Trattamento, le cui attività sono disciplinate da un contratto o altro atto giuridico. Questa figura è responsabile dell’attuazione delle misure di sicurezza e non ricorre ad altro Responsabile senza previa autorizzazione del Titolare. Non solo, è responsabile della compliance normativa per il trasferimento dati.

Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer.
Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo.
Ha un ruolo di indirizzo e controllo e fornisce consulenza al Titolare e al Responsabile, sorveglia l’osservanza del Regolamento e fornisce un parere sul Privacy Impact Assessment.
Per raggiungere la compliance è dunque necessario ripensare i processi secondo un Risk-based approach, effettuando la mappatura dei dati personali e delle tipologie di trattamento.


Il cloud non è più solo una moda o un trend del momento. Come certificato da anni di successi e da un numero sempre maggiore di servizi ospitati nella “nuvola”, questo genere di piattaforma offre indubbi vantaggi per le imprese.

In ottica GDPR, una infrastruttura professionale che si basa su un cloud professionale e certificato, come per esempio quello di Aruba, può fare affidamento su una serie di meccanismi che semplificano la compliance normativa e la data security.
Non solo, appoggiarsi a datacenter e servizi di player importanti significa avere il supporto diretto di tecnici esperti, nonché la garanzia che i dati siano trattati come imposto dalla legge.
Per esempio, Aruba si impegna a gestire i dati anagrafici e amministrativi all’interno del nostro Paese, in conformità alle leggi italiane ed europee. L’azienda è tra i soci fondatori del CISPE, una coalizione nata nel 2016, che oggi raccoglie oltre 20 tra i maggiori provider di infrastrutture cloud attivi in 15 Paesi europei.
Giova ricordare che il CISPE ha dato vita ad un Codice di Condotta (CoC) che precede l’entrata in vigore del GDPR, poiché, allineandosi ai suoi requisiti, ne condivide l’obiettivo principale: ridare ai cittadini il controllo dei propri dati personali, sapere dove questi dati si trovano e semplificare il contesto normativo per il commercio internazionale, unificando la regolamentazione all’interno dell’UE per scopi commerciali o per la rivendita a terzi.

Perché è importante la conformità al GDPR?

Aruba facilita la compliance e la gestione dei dati offrendo i propri servizi a partire da 8 data center europei (3 in Italia), un aspetto importante in ottica normativa e di possibile controllo da parte di enti sovrani e organizzazioni di security sovranazionali.
La sicurezza del dato e la tracciabilità degli asset, fondamentali in ottica GDPR, trovano ideale attuazione in infrastrutture data center evolute, come quelle di Aruba. Stiamo parlando di ambienti certificati ai massi livelli per resilienza e qualità infrastrutturale (ANSI/TIA 942-A - Certificazione ISO 27001).

Spesso si parla di data security considerando unicamente la protezione dalle cyber-minacce, ma è bene ricordare che la sicurezza passa, in primo luogo, dalla protezione fisica degli impianti e degli ambienti operativi. In questo senso i data center della società sono dotati di avanzati sistemi di sicurezza logica e fisica, con particolare attenzione per i sistemi di sorveglianza, monitoraggio, backup e ridondanze degli impianti di alimentazione, accesso al Web e condizionamento.
Ambienti e logiche operative che mettono al riparo gli asset delle imprese e che consentono anche alle realtà più piccole di giovare di tutti i vantaggi tipici degli ambienti distribuiti.
Proprio in questa prospettiva, il cloud diventa un alleato delle PMI, sia dal punto di vista operativo, per lo svolgimento delle attività quotidiane, sia dal punto di vista normativo, per rispondere alle stringenti richieste del GDPR.

Al cloud backup e ai sistemi di Disaster Recovery as a Service, Aruba affianca un’offerta completa ad elevata resilienza, per un rapido ripristino dei dati, anche in caso di incidenti fisici o tecnici.
Tutto questo si traduce in una business continuity di alto livello per le imprese e, di conseguenza, in una continuità operativa dei servizi offerti ai clienti.
Sicurezza, tracciabilità, continuità di servizio sono senza dubbio tre “plus” da non sottovalutare per avviare un nuovo business o per garantire solidità alle attività già in essere.
Non va inoltre dimenticato che il regolamento UE obbliga a garantire integrità, riservatezza, resilienza e disponibilità dei sistemi; tutti requisiti ampiamente soddisfatti da una infrastruttura cloud certificata e da servizi avanzati di security e DRaaS

Sommario