Arriva il GDPR, un’opportunità da cogliere oltre gli obblighi
ARRIVA IL GDPR, UN’OPPORTUNITA’ DA COGLIERE OLTRE GLI OBBLIGHI
Come noto il 25 maggio 2018 diventerà obbligatorio per le aziende pubbliche e private attenersi al Regolamento Europeo sulla protezione dei dati personali (General Data Protection Regulation – GDPR).
Il GDPR prevede pesanti sanzioni in caso di violazione (dal 2% al 4% del fatturato e fino a 20 milioni di Euro) ma in un mondo caratterizzato da minacce informatiche sempre più insidiose e variegate e dalla presenza di tecnologie di raccolta e analisi dei dati estremamente sofisticate e pervasive, la sicurezza e il governo dei dati è comunque imprescindibile in un’attività, indipendentemente dagli obblighi di legge e non solo in relazione ai dati personali. L’entrata in vigore di questa normativa rappresenta quindi un’opportunità da cogliere per affrontare il tema della sicurezza in modo organico e sistematico nell’interesse stesso dell’azienda anziché limitarsi al rispetto formale e contingente di requisiti normativi.
Il GDPR va in questa direzione poiché nella sostanza non contiene indicazioni specifiche sulle soluzioni da adottare per essere in regola ma definisce gli obiettivi e i requisiti lasciando poi al titolare del trattamento la responsabilità di individuare e applicare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (Art. 32). La scelta delle misure da adottare deve inoltre tener conto dello stato dell’arte delle tecnologie e dei costi di attuazione, pertanto esse dovranno periodicamente essere aggiornate per seguire lo sviluppo tecnologico e i costi relativi dovranno essere tenuti in debita considerazione nei budget delle aziende.
Fatta eccezione per casi specifici in cui il rischio è particolarmente elevato a causa della tipologia di dati trattati e del loro contesto di utilizzo da parte dell’azienda, il percorso verso il raggiungimento di un livello di sicurezza adeguato prevede a nostro parere prevalentemente interventi basati su best practices e buon senso, tra cui ad esempio:
– Mappatura delle informazioni gestite dall’azienda per individuarne tipologia, posizione, utilizzo, provenienza, protezione per determinare il proprio livello di rischio;
– Formazione e sensibilizzazione degli utenti e dei gestori dei sistemi, inclusi i collaboratori esterni;
– Razionalizzazione dei permessi di accesso degli utenti e opportuna gestione password;
– Dismissione o aggiornamento di sistemi basati su piattaforme obsolete e applicazione regolare di patching;
– Verifica ed eventuale integrazione delle procedure di backup e restore dei dati;
– Revisione dei sistemi di sicurezza perimetrale e di protezione dei dispositivi utente – Firewall, Antispam, URL Filtering, Antivirus;
– Cifratura dei dati e delle comunicazioni con l’esterno, con particolare attenzione ai dispositivi mobili – smartphone, tablet, notebook, USB stick, etc. – e ai repository di dati su Cloud;
– Raccolta, conservazione e analisi dei log.
Per tutti questi temi Surftech conosce e applica soluzioni tecnologiche valide, scelte con approccio pratico in base alle effettive esigenze dei clienti. Ha poco senso ad esempio introdurre prodotti di pseudonimizzazione dei dati o sistemi di correlazione dei log basati su intelligenza artificiale se in azienda si usano ancora sistemi operativi fuori supporto come Windows XP o Windows 2003, non esiste una politica di patching e gli utenti usano password statiche scritte su foglietti attaccati al monitor e copiano i dati aziendali sul proprio Dropbox. Non va infatti dimenticato che spesso il punto più debole è il “device collegato alla tastiera”, cioè l’utente stesso che non applica comportamenti corretti e diventa inconsapevolmente veicolo dei malware.
Ma, oltre a prescrizioni che come detto possiamo ritenere di carattere generale, il GDPR ne include anche altre di più specifiche, volte a garantire alle persone, e in special modo ai minori, maggiori diritti sul trattamento da parte delle aziende dei propri dati personali. L’articolo 15 stabilisce ad esempio che ciascun cittadino ha il diritto di ottenere da un’azienda “la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali”, nonché di farli rettificare se inesatti (articolo 16) e di farli cancellare se il titolare non ha più l’obbligo o il diritto di conservarli (“diritto all’oblio” – articolo 17) o al contrario di impedire al titolare di cancellarli, ad esempio perché servono al cittadino per far valere un proprio diritto. In linea di principio tutte queste richieste, con relative regole, eccezioni e casi particolari, vanno assolte dalle aziende gratuitamente, cioè senza far pagare nulla al richiedente se non dei costi amministrativi ragionevoli in caso di richieste manifestamente infondate o eccessive.
Una norma che solleva molte preoccupazioni è l’obbligo per il titolare del trattamento di notificare all’autorità di controllo, che per l’Italia è il Garante per la protezione dei dati personali, una eventuale violazione di dati personali “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, accompagnando la notifica con numerosi dettagli (articolo 33). Nel caso di una violazione che può comportare rischi elevati per i diritti e la libertà delle persone il titolare è inoltre tenuto a comunicarla tempestivamente agli interessati (articolo 34).
Per soddisfare le prescrizioni sopra riportate in modo organico ed efficiente le aziende dovranno raggiungere e mantenere un livello di governance dei dati gestiti molto elevato, creando un contesto in cui consapevolezza e sensibilità verso il tema della sicurezza generino comportamenti corretti e facciano sì che con il tempo ogni nuova iniziativa tenga conto fin dalla progettazione iniziale delle necessità di sicurezza dei dati (principio di “security by design”) e dei diritti delle persone sul trattamento e la tutela dei propri dati ma salvaguardando al tempo stesso le legittime necessità di utilizzo dei dati da parte delle aziende per il proprio business.
Il GDPR comunque non vuol essere un peso insostenibile per le aziende: nella normativa compaiono spesso termini come “adeguato”, “proporzionale”, “ragionevole”, “ove possibile”, etc. che dovrebbero consentire a ogni organizzazione di attuare il proprio percorso verso la compliance e il ruolo di Surftech è proprio quello di aiutare le aziende a definire questo percorso. Conviene quindi affrontare l’argomento in modo pragmatico, attuando misure sostenibili che puntino a rispettare la sostanza del provvedimento e inizino con il sanare le situazioni di maggiore rischio, cercando magari di sfruttare l’occasione per introdurre migliorie e ottenere benefici anche in altri ambiti. Al crescere della maturità aziendale sull’argomento si potranno via via applicare soluzioni e procedure più avanzate che aumentino progressivamente la sicurezza.
Surftech propone di iniziare con un incontro introduttivo durante il quale si possa:
– avere una panoramica del GDPR, comprenderne la struttura e gli obiettivi, utilizzare una versione “navigabile” del provvedimento per leggere il testo dei principali articoli ed eventualmente approfondire quelli di maggior interesse per l’azienda specifica;
– effettuare un’analisi dell’attuale situazione aziendale in relazione alla sicurezza informatica attraverso una checklist di requisiti riferiti ai vari punti della normativa; per le situazioni più grandi e articolate questo processo potrebbe richiedere il coinvolgimento in più riprese di diversi reparti e figure aziendali;
– elaborare un piano di attività per l’attuazione delle misure più opportune.
Contattaci per maggiori informazioni.