A cura di Fabrizio Tittarelli, Sr Director Services Delivery, CA Technologies
Di sicuro abbiamo tutti sentito parlare di GDPR. Ma un breve riepilogo può essere sempre utile: il GDPR pone il controllo più forte dei dati personali nelle mani dell’individuo, dandogli diritti sull’accesso ai propri dati e su come tale accesso può essere ritirato. Inoltre, le aziende dovranno ripensare a come raccolgono i dati, e dovranno dimostrare di proteggerli nel miglior modo possibile. Nel contempo, il GDPR semplificherà il contesto normativo per le imprese, armonizzando le discipline sull’approccio alla protezione dei dati all’interno dell’UE. Non solo: il GDPR si applica a qualsiasi azienda che gestisce dati degli utenti europei, indipendentemente da dove questa si trovi nel mondo, e la definizione di “dati personali” si estende dai dati di contatto personali di base fino alle immagini, agli indirizzi IP, alle informazioni biologiche, economiche o sociali. Da notare anche che le sanzioni per la non conformità potrebbero portare a multe fino a 20 milioni di euro o al 4 per cento del fatturato annuale globale di un’azienda.
Dove concentrare l’attenzione?
È chiaro che il GDPR è destinato ad avere un impatto su quasi ogni aspetto dell’azienda: dal modo in cui i dati personali vengono raccolti e utilizzati fino al modo in cui vengono elaborati, archiviati e trasmessi a paesi al di fuori dell’UE. Ma su cosa devono concentrarsi le aziende? A meno di un mese dalla scadenza del 25 maggio 2018, queste sono alcune delle aree chiave su cui porre attenzione.
- Nuovi requisiti – Le aziende dovranno porre la protezione dei dati al centro dei loro processi di informazione, compresa l’esecuzione di valutazioni dell’impatto sulla protezione dei dati, con la nomina del Data Protection Officer, responsabile della protezione dei dati, che potrebbe anche essere un modo per guidare questo processo generale.
- Nuovi diritti per gli utenti – Il GDPR richiede maggiore trasparenza. Per esempio, gli utenti possono richiedere la cancellazione dei dati (il “diritto all’oblio”), la correzione degli errori e il diritto di accedere ai dati in formati strutturati in modo che possano spostarli. Se si verifica una violazione dei dati, in alcuni casi gli utenti devono essere avvisati.
- Strategia tecnologica – Le aziende dovranno documentare e riportare dove sono i loro dati, come vengono raccolti, come sono archiviati e chi può accedervi. Per esempio, ogni volta che i dati personali vengono utilizzati per dei test, chi li esegue deve assicurarsi che ci sia un motivo legale per farlo.
Cinque step tecnologici per accelerare la compliance
L’avvento del GDPR richiede che le aziende dedichino risorse sufficienti alla gestione del rischio e alla compliance, e soprattutto all’IT. Ma in che modo la tecnologia può aiutare le organizzazioni ad accelerare la loro risposta alla normativa e diventare conformi al GDPR?
Gestione e discovery dei dati
Il primo passo è quello di identificare i dati personali presenti all’interno dell’azienda e proteggerli da accessi non autorizzati. Identificando e controllando i dati personali nelle diverse fasi, come a riposo, in movimento e in uso, le aziende saranno posizionate in modo adeguato per far rispettare la conformità al GDPR.
Identità e governance degli accessi
Le aziende devono centralizzare e governare l’identità degli utenti e gestire l’accesso, specialmente nel caso di utenti privilegiati. Automatizzando questa gestione degli utenti, le aziende beneficeranno dagli insight su “chi ha accesso a cosa”, con maggiore produttività e conformità al GDPR.
Gestione degli accessi privilegiati e analisi delle minacce
Secondo i termini del GDPR, i responsabili del trattamento dei dati devono segnalare qualsiasi violazione dei dati entro 72 ore dall’incidente. Gestendo gli accessi privilegiati, le aziende possono proteggere più facilmente le attività privilegiate e imporre il rilevamento e la notifica delle violazioni dei dati.
Gestione dei dati di prova e generazione di dati sintetici
La gestione dei dati di prova, TDM – Test Data Management, è il processo di fornitura, distribuzione e gestione dei dati di test per i team di sviluppo, che assume maggiore urgenza con la scadenza del termine del GDPR. Si tratta di pratiche fondamentali per superare gli ostacoli alla conformità ed evitare le sanzioni associate al GDPR. Utilizzando i dati sintetici, le aziende eviteranno le insidie connesse alla mascheratura dei dati di produzione.
Gestione delle API
La gestione delle API, le interfacce di programmazione delle applicazioni, è la base per un’architettura compatibile con il GDPR che sia a prova di futuro. Consente alle aziende di adottare rapidamente e facilmente le regole per la raccolta del consenso e informare gli utenti in merito alle normative relative all’accesso ai dati e alla loro portabilità.
In sintesi, entro il 25 maggio le aziende devono aver rivisto il loro ciclo di vita dei dati e messo in atto controlli rigorosi per la sicurezza e la protezione dei dati, nonché sul modo in cui questi vengono utilizzati e utilizzati. Adottando appropriate soluzioni software e completando questi processi, le aziende potranno dichiararsi conformi al dettato del GDPR.