San Valentino cade esattamente 100 giorni prima che il GDPR entri in vigore, notizia che probabilmente farà battere il cuore a qualcuno … e non in senso positivo! Ma il 25 maggio 2018 è una data che tutti dobbiamo tenere bene in mente.
Siamo onesti, la regolamentazione non è mai qualcosa di cui innamorarsi, ma in questo caso è un incentivo a focalizzare l’attenzione su ciò che dovrebbe interessarci maggiormente: i dati. I dati sono la linfa vitale della ogni organizzazione e rappresentano le persone che vi lavorano, che le permettono di prosperare, così come le informazioni sui clienti che servono al tuosuo business. Le importanti violazioni dei dati del 2017 ci hanno mostrato quanto siano vulnerabili questi dati e in generale il personale delle aziende.
Il GDPR è una spinta importante che ci ricorda che è nostra responsabilità fare di più per proteggere la privacy delle persone che ci interessano maggiormente; è l’occasione per mostrare loro quanto sono importanti. Proteggere le persone e con loro l’azienda stessa.
100 giorni non sono un gran lasso di tempo, ma non è troppo tardi – la maggior parte delle aziende sta sicuramente lavorando per mettere in atto i processi e le misure di sicurezza che il regolamento richiede. 100 giorni sono l’occasione perfetta per verificare i progressi fatti per vedere se si è a buon punto nel mettere in pratica le ultime fasi della strategia concordata.
Con 3 mesi alla scadenza, abbiamo penato di inserire una selezione di promemoria da rivedere a mano a mano che la data del 25 Maggio si avvicina:
- Rivedere le relazioni con i fornitori e i fornitori di applicazioni. Stanno proteggendo i dati che stai chiedendo loro di elaborare? Come ti notificheranno se subiscono una violazione? Considera che i tuoi dati possono essere conservati all’interno di un’applicazione cloud: dovrai anche rivolgerti ai fornitori di applicazioni cloud.
- È necessario valutare se nominare un responsabile della protezione dei dati, un DPO. Questa persona si assumerà la responsabilità della conformità alla protezione dei dati nella propria organizzazione.
- Considera come puoi inventariare i tuoi dati. Potresti identificare file di dati che non sapevi di avere. Consulta la nostra guida “The Need To Inventory Personal Data” per aiutare a identificare le soluzioni che potrebbero essere d’ausilio a questo scopo.
- Valutare se i flussi di dati sono stati tracciati in modo esaustivo. Il GDPR richiede che le organizzazioni comprendano non solo dove sono archiviati i dati, ma anche dove i dati vengono utilizzati e trasmessi. La nostra guida “Data Flow Mapping and Control” fa riferimento al testo della normativa e offre alcuni suggerimenti.
- Se dovesse accadere l’inevitabile, è necessario rispondere e recuperare la violazione entro tempi ristretti. “Detect & Respond to a Data Incident” spiega come il framework NIST può indirizzarti nella giusta direzione.
Questi promemoria non sono ovviamente esaustivi. L’Autorità di Vigilanza avrà probabilmente molte altre indicazioni a cui attenersi. Anche il Forcepoint GDPR Resource Pack potrebbe essere di aiuto.
Il GDPR e i regolamenti come questo sono affari seri, ma questo non significa che vadano abbracciati solo perché si deve… ma anche perchè farlo conviene.