GDPR, un anno dopo: cosa è cambiato?

GDPR, un anno dopo: cosa è cambiato?

È trascorso un anno dall’introduzione del GDPR, una opportunità per ripensare i processi gestionali, migliorare la security dei sistemi e la privacy del dato.
Parlare di GDPR significa focalizzarsi sugli aspetti normativi, ma anche su differenti attività pratiche e migliorie tecniche da mettere in atto per essere compliant.
La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni ed è in vigore dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide e saranno verosimilmente integrate dal GDPR.

Di fatto, il GDPR impone alle aziende requisiti e obblighi, molte realtà hanno perciò dovuto rivedere o modificare le modalità di gestione dei dati, con un’attenzione particolare sulla sicurezza del processo. Sia a livello giuridico, sia a livello tecnologico, la normativa va interpretata come un’opportunità di aggiornare meccanismi di lavoro che ormai sono obsoleti. Seguendo quanto prescritto è infatti possibile ricostruire il percorso che i dati compiono all’interno dell’azienda, capire il ciclo di vita degli asset e valorizzare i dati stessi, abbattendo le attuali strutture a silos.
Il pacchetto raccoglie dunque un sistema di norme non più limitate ai singoli stati, ma globali e va a protegge per primi i cittadini, sia dall’invadenza dello stato e sia dalle imprese che trattano i dati personali.

Particolarmente importante il concetto di “Accountability”, il principio di responsabilizzazione e documentazione. Fissa alcuni principi base e lascia all’azienda gli strumenti per la protezione e la gestione delle responsabilità. In questo ambito gli aspetti di processo diventano fondamentali. La documentazione delle attività è fondamentale.

Esistono dunque ruoli specifici, a partire dal Responsabile del Trattamento, i trattamenti del Responsabile sono disciplinati da un contratto o altro atto giuridico. Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer.
Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo.

Già un anno fa, all’introduzione della normativa, le aziende avrebbero dovuto istituire il registro dei trattamenti, verificare informative e consensi, abilitare processi di risk assessment, verificare che le misure di sicurezza messe in atto fossero adeguate. A maggio scorso, il 75% delle aziende italiane dichiarava di aver creato una procedura per notificare le violazioni di dati, ma solo il 49% aveva aumentato gli investimenti in IT Security. Le sfide di allora, così come quelle odierne, includono la difficoltà di essere conformi con il nuovo regolamento europeo: le aziende lamentano infatti la presenza di troppi sistemi IT legacy (30%), la mancanza di una data security efficiente (29%) e l’assenza di processi formali che rendano possibile identificare chiaramente a chi appartengono e dove sono custoditi i dati (28%).


Le ricerche, in questo senso, sono molte. Come sottolinea Commanders Act, la maggior parte delle aziende, sia multinazionali che PMI, hanno iniziato a conformarsi alla direttiva, ad esempio attraverso nuove procedure, nuovi sistemi o nuove clausole contrattuali. Tuttavia, per molte di esse, queste iniziative fanno spesso parte di un processo di conformità "di facciata", volto soprattutto a soddisfare i requisiti minimi di legge.

Se finora questo approccio minimalista è stato spesso privilegiato, lo si deve innanzitutto al fatto che il GDPR non ha ricevuto una risposta particolarmente favorevole da parte delle piccole e medie imprese, che l'hanno visto come un freno allo sviluppo dell'economia digitale in generale e alla loro competitività in particolare. La prospettiva di imporre nuovi vincoli all'utente e la potenziale perdita di alcuni dei dati dei clienti a causa della mancanza di consenso ne ha scoraggiate più di una.

GDPR, un anno dopo: cosa è cambiato?

Le misure, anche minime, adottate finora dalle imprese sono sufficienti a garantire la loro conformità al regolamento? Se esse oggi permettono loro di sfuggire alle sanzioni della CNIL, l'incertezza rimane comunque sul lungo termine.
Nell'ultimo anno il testo è stato modificato a seguito di scambi e feedback ricevuti da organismi di regolamentazione e associazioni professionali, per definire con maggiore precisione i dettagli riguardo alla metodologia. Questo lavoro di adattamento e di precisazione risponde, da un lato, ai feedback degli operatori del mercato, dall’altro alla necessità di armonizzare le pratiche a livello europeo.

Il GDPR è destinato ad essere applicato uniformemente all'intero mercato europeo, dove esistono ancora alcune disparità. La CNIL, che per il momento è nota per essere più permissiva delle sue controparti europee, affinerà e adatterà gradualmente il testo, rafforzando in parte le sue raccomandazioni per cancellare progressivamente le differenze locali e allinearsi alle regole applicate dai nostri vicini.
Ciò significa, dunque, che le aziende dovranno stare attente gli sviluppi futuri e verificare che le metodologie e le procedure che hanno adottato rimangano conformi ai nuovi requisiti normativi.

Come precisa FireEye, al di là delle indagini rivolte alle aziende, il GDPR ha portato benefici per i consumatori dell’Unione Europea, in quanto le aziende hanno intensificato notevolmente il proprio impegno per educare il pubblico sulle pratiche in materia di dati. L’istituzione di meccanismi di accesso, rettifica e cancellazione delle richieste, ha dato a milioni di persone un metodo semplice per controllare meglio l’utilizzo dei loro dati personali. Inoltre, i diritti conferiti ai consumatori dall’UE hanno un effetto a valle su molti consumatori di Paesi terzi che possono così beneficiare di pratiche rafforzate, in quanto le imprese adottano adesso un approccio comune alla riservatezza dei dati.

Venendo così meno i grandi titoli su indagini chiuse e su multe onerose, una delle domande oggi più ricorrenti sul GDPR è se le aziende diventeranno compiacenti e ridimensioneranno di conseguenza i loro programmi per la privacy. Qualsiasi ritrattazione è per sua natura rischiosa, poiché l’uso di vecchie valutazioni di impatto sulla privacy o di inventari/elenchi obsoleti implicano una incompleta gestione delle attività di trattamento dei dati.
Queste lacune sono un segno evidente per le autorità di regolamentazione che il mantenimento di un programma di tutela della privacy è carente e probabilmente meritevole di un esame più attento. Un’altra questione importante è se le rivendicazioni di conformità delle aziende saranno verificate da terzi o rimarranno incontestate fino a quando le autorità di regolamentazione non si faranno sentire o non si dichiarino soddisfatte di ciò che rilevano.

Gli esperti di Ogury, specializzata in Mobile Journey Marketing, spiegano come, per i cittadini italiani, la comprensione su come le aziende utilizzano i dati degli utenti non sia migliorata molto. Un sorprendente 37% a livello globale dichiara di non sapere nemmeno cosa sia la GDPR e, se in Europa la percentuale cresce al 39%, in Italia si attesta al 34%.
I risultati di una recente ricerca rivelano che non tutte le aziende hanno correttamente implementato il modulo per la richiesta esplicita di consenso di raccolta e utilizzo di dati degli utenti. Il 78% degli utenti, a livello globale, non legge interamente l’informativa di consenso nella sua interezza, mentre il 52% degli utenti a livello mondiale afferma che, anche leggendo tale policy, non comprende come verranno effettivamente utilizzati i dati. La percentuale è ancora più elevata nei Paesi Europei dove la GDPR è in vigore da un anno: ben il 58%.


Ad oggi, sono ancora molte le imprese, soprattutto le più piccole, a non essere ancora conformi al GDPR. Come è possibile accelerare il processo di aggiornamento normativo per quegli ambienti privi di un supporto tecnico interno?
In questo caso è opportuno appoggiarsi a partner di comprovata esperienza, in grado di offrire soluzioni “state of the art” per migliorare security, compliance e privacy del dato.
Tra i provider di servizi più evoluti c’è sicuramente Aruba, che propone svariate opportunità di crescita e aggiornamento per le PMI e il mondo enterprise.

In particolare, il GDPR richiede di adottare misure tecniche e organizzative per la sicurezza dei dati e per il rispetto della privacy. Un aiuto diretto può arrivare dai service specifici Aruba Cloud Backup, Disaster Recovery e Business Continuity.

Scegliendo Cloud Backup è possibile programmare i tempi di conservazione e la cifratura dei dati, ma anche creare backup automatizzati, per rispondere a specifiche misure di sicurezza del trattamento previste dalla normativa.
Per la massima privacy, il trasferimento dei dati avviene attraverso un canale cifrato SSL, che ne impedisce la divulgazione non autorizzata o l’accesso a soggetti non autorizzati.
Allo stesso modo, i dati memorizzati sullo storage potranno essere cifrati con tecnologia AES a 256 bit.

GDPR, un anno dopo: cosa è cambiato?

Per aumentare la resilienza della propria infrastruttura è possibile appoggiarsi all’evoluta architettura Disaster Recovery as-a-Service di Aruba, che consente di creare repliche dei dati sia all’interno dell’azienda, sia nel Private Cloud di Aruba in ambiente VMware.
Ciò permette il passaggio del workload di produzione nel sito di disaster recovery in pochi secondi e incrementa di fatto la robustezza della propria rete di servizi, per una vera continuità di business.

Grazie a datacenter di proprietà, in Italia (è in fase di costruzione l’Hyper Cloud Data Center di Roma) e all’estero, e a interconnessioni multiple, l’infrastruttura Private Cloud di Aruba è solida e resiliente. Il servizio include inoltre l’esecuzione di interventi di ripristino configurabili a seconda della specifica condizione, “del contesto e delle finalità del trattamento”, oltre alle esigenze infrastrutturali del singolo cliente.

A questi servizi se ne affiancano molti altri, tutti utili a soddisfare i requisiti della normativa e a mettere in sicurezza i dati nel rispetto della legge.
Tra questi l’hosting certificato, per creare un sito completo ed essere conforme al GDPR. Aruba offre certificati SSL che consentono di evitare la divulgazione non autorizzata o l'accesso ai dati personali trasmessi. Oltre a questo, il provider integra le proprie soluzioni con procedure per il backup giornaliero, utile contro il rischio di perdita accidentale dei dati personali e il rilevamento malware, un monitoraggio costante delle vulnerabilità del sito, indispensabile per mettere in atto immediate contromisure in caso di attacchi o minacce.

I servizi Aruba si completano con le soluzione per la posta elettronica protetta su protocolli SMTPS, POP3S e IMAPS. Pacchetti che includono componenti antiVirus e antiSpam, utili per ridurre il rischio di vulnerabilità contro attacchi portati da virus o malware o phishing o altre tecniche fraudolente normalmente veicolate attraverso le e-mail.

Aruba estende i propri servizi per soddisfare ogni tipologia d’impresa, questo grazie a soluzioni altamente flessibili come Cloud VPS, disponibile in quattro varianti. Parliamo di un servizio conforme al CISPE, che si avvantaggia di un network ridondato, funzionalità di snapshot del server virtuale e un doppio sistema di autenticazione al Pannello di Controllo.

Tra i service pensati per la compliance in materia di GDPR, Cloud PRO rappresenta una versione evoluta di server virtuale ridondato con risorse garantite. Questa versione dispone di block storage ridondato su dischi SSD, sonda di monitoraggio per tenere sotto controllo lo stato dei servizi e offre la possibilità di scegliere l’infrastruttura dove attivare il proprio servizio nel network di Data Center Aruba in Italia ed Europa.

Analogamente, con Cloud Object Storage, Aruba propone un sistema di archiviazione particolarmente flessibile che sfrutta la creazione di copie e repliche di ciascun file memorizzato, al fine di ridurre eventuali possibilità di perdita dei dati.
L'accesso ai dati può avvenire tramite un'interfaccia di front-end che distribuisce dati su protocollo HTTPS/FTPS che riduce (o azzera) il rischio di furto dei dati in caso di intercettazione della trasmissione.
La sicurezza di accesso è elevata, grazie a un controllo nello strato di back-end non connesso alla rete pubblica, utile per verificare l'autenticità e l'identità dell'utente.

Aruba aiuta e accelera la trasformazione digitale di imprese di qualsiasi dimensione e si propone come interlocutore per il mondo enterprise. Non solo, Aruba è tra i Cloud Service Provider qualificati da AgID per l’erogazione di servizi Cloud alle PA e può offrire service di livello IaaS e SaaS per semplificare la digitalizzazione delle pubbliche amministrazioni.

Sommario