GDPR: se l’IT favorisce la compliance

Manca poco meno di un anno per adeguarsi a quanto previsto dal GDPR: ecco cinque modi in cui le tecnologie possono aiutare le aziende a essere conformi alle prescrizioni in materia di trattamento dei dati personali

A cura di Fabrizio Tittarelli, Sr Director Services, CA Technologies

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

La data è ormai arcinota: 25 maggio 2018. Si tratta della deadline per essere in regola con il GDPR, General Data Protection Regulation, ovvero il Regolamento generale sulla protezione dei dati dell’Unione Europea. In sostanza, tra meno di un anno entrerà in vigore il maggiore cambiamento nelle leggi europee sulla privacy degli ultimi venti anni. Di sicuro c’è chi è già in regola o chi sta lavorando ora su una strategia di compliance, come c’è anche chi ha ancora molto lavoro da fare: da una recente ricerca è emerso che solo il 46 per cento delle organizzazioni ritiene che saranno pronte per la data di entrata in vigore, mentre l’88 per cento è alle prese con alcune sfide tecnologiche. In ogni caso, è il momento di agire. E in fretta.

Il concetto di “dati personali”

Dando per scontato che si abbia già una conoscenza delle novità nella gestione dei dati personali prevista dal GDPR, è bene però ricordare che il regolamento si applica a qualsiasi società che gestisce dati degli utenti europei, indipendentemente da dove si trovino nel mondo. Inoltre, la definizione di “dati personali” si estende dai dati di contatto personali di base, fino a immagini, indirizzi IP, informazioni biologiche, economiche o sociali. Ma soprattutto le sanzioni previste per chi non è conforme potrebbero portare a multe fino a 20 milioni di euro o al 4 per cento del fatturato annuo globale di una società. È bene essere chiari: il GDPR avrà impatto su ogni aspetto del business: dal modo in cui vengono raccolti e utilizzati i dati personali a come vengono elaborati, memorizzati e trasmessi in paesi extra UE.

Leggi anche:  NIS2: dall’approccio multirischio alle buone pratiche di igiene informatica

I cinque step per accelerare la compliance

L’avvento del GDPR richiede che le organizzazioni dedichino risorse sufficienti per la gestione dei rischi e la compliance. Ma l’IT può essere di notevole aiuto, per esempio con i cinque step tecnologici esaminati di seguito.

  1. Gestione e discovery dei dati

Il passo iniziale è quello di trovare i dati personali presenti in tutta l’organizzazione e proteggerli dall’accesso non autorizzato. Identificando e controllando i dati personali, che siano archiviati, in movimento o in uso, le aziende avranno la possibilità di attuare la conformità al GDPR.

  1. Governance di identità e accessi

Le aziende devono centralizzare e governare l’identità degli utenti e gestire gli accessi, specialmente nel caso di utenti con privilegi. Automatizzando questa gestione degli utenti, si avrà il vantaggio di sapere “’chi ha accesso a cosa”, con una maggiore produttività degli utenti e migliore conformità al GDPR.

  1. Gestione degli accessi privilegiati e analisi delle minacce

Secondo i termini del GDPR, i responsabili dei dati devono segnalare qualsiasi violazione dei dati entro 72 ore dall’accaduto. Gestendo gli accessi privilegiati, le aziende possono proteggere più facilmente le attività privilegiate e mettere in atto la rilevazione e la notifica di violazione dei dati.

  1. Gestione dei dati di test e generazione di dati sintetici

La gestione dei dati di test (TDM, test data management) è il processo di fornire, distribuire e gestire i dati di test per i team di sviluppo. Per questo il TDM diventa sempre più urgente in vista della deadline del GDPR. Utilizzare pratiche TDM solide ed efficienti si può rivelare fondamentale per superare gli ostacoli alla compliance ed evitare le sanzioni relative previste dal GDPR. Utilizzando dati sintetici, le aziende eviteranno le insidie connesse al mascheramento dei dati di produzione.

  1. Gestione delle API

La gestione delle API è la base per avere un’architettura compatibile con il GDPR a prova di futuro. Consente alle organizzazioni di adottare rapidamente e facilmente le regole per la raccolta del consenso e di informare gli utenti circa le norme relative all’accesso e alla portabilità dei dati.

Leggi anche:  Imprese europee prese di mira da attacchi malware multi-fase

In sintesi, le aziende devono riesaminare il ciclo di vita dei loro dati e porre in essere controlli rigorosi e solidi per la sicurezza e la protezione dei dati, oltre che su che uso se ne fa e chi vi accede. Adottando soluzioni software appropriate e ingegnerizzando processi adeguati, è possibile garantire una sicura conformità al GDPR.