Mancano poco più di 6 mesi (25 maggio 2018) all’applicazione totale del GDPR e la maggior parte delle aziende non sono pronte!
GDPR in Dettaglio
Il General Data Protection Regulation è il nuovo regolamento europeo, entrato in vigore ad Aprile del 2016, che obbliga le aziende che trattano dati personali ad adottare nuove misure di protezione al fine di garantire sicurezza agli utenti finali. Che la legge europea avesse bisogno di una rinfrescata è un dato di fatto e visti i recenti fatti, alcuni molto drammatici che hanno visto il suicidio delle vittime che hanno subito il peso della “condivisione su Internet”, l’Unione Europea ha deciso di dare uno stretto giro di vite per tutte le aziende che hanno a che fare con i nostri dati.
Non solo fatti drammatici ma anche cose più semplici che ci toccano molto nel quotidiano, come dati che vengono rubati oppure ceduti senza il nostro permesso ed almeno una volta nella vita ci siamo domandati come fosse possibile che l’azienda X avesse avuto accesso al nostro numero di telefono, pur non avendo mai avuto relazioni con essa.
Alla base del GDPR c’è la nostra legge 196 (quella sulla privacy) che è stata usata come base per costruire un sistema più strutturato. Contrariamente a quello che alcune aziende di sicurezza dicono, il GDPR non sostituisce nessuna legge italiana (DPS e 196). Il regolamento europeo sarà on-top ma ogni singola nazione avrà facoltà di rafforzare le leggi e di determinare alcune linee guida (come il tempo di mantenimento dei dati, che è di 6 mesi per l’Italia).
In tanti continuano a pensare che la legge sarà prorogata, com’è successo per tante leggi italiane. Il problema è che il regolamento è europeo e l’Italia non ha nessun potere di proroga e quindi pensare di posticipare i tempi, sperando nella manna dal cielo, è un grave rischio per la sicurezza ma anche per la punibilità. Il modo in cui i dati vengono trattati, può precludere anche dei rapporti verso l’estero perchè magari un partner, prima di iniziare a collaborare con noi, pretenderà di vedere come abbiamo predisposto la nostra infrastruttura IT.
Ma cosa prevede il GDPR? I punti salienti sono:
- Si applica nel trattamento dei dati di utenti privati
- Riguarda tutte le aziende e liberi professionisti
- Aumenta i diritti degli interessati (utenti) tra cui la possibilità di modificare i dati e di chiedere il diritto all’oblio
- Sparisce la distinzione tra amministratori e non
- Sparisce il concetto di «misure minime»
- Obbligo di formazione interna
- Obbligo di notifica in caso di Breach Detection entro 72 ore
- Viene introdotta la figura del Data Protection Officier
Importante il fatto che si va a togliere il concetto di misure minime, ma obbliga le aziende a fare il massimo, compatibilmente con la tipologia di dati e la tipologia di azienda, per mettere in sicurezza le informazioni e questo significa avere sistemi di firewall aggiornati, networking ben configurato e confinato, piattaforma di auditing ed analysis, sistemi di backup e molto altro ancora. Da notare che non viene mai menzionato la tipologia di strumento da adottare, anche per evitare il ritocco continuo della legge con il passare del tempo ma anche per non dare adito alle aziende di mettersi al riparo con poco.
Anche la formazione interna diventa un punto critico perchè la sicurezza passa anche dagli utenti finali che molte volte sono lasciati andare alla deriva e non ci preoccupa di quello che fanno con i dati aziendali.
Chi è Colpito dal GDPR?
Come si può vedere dai punti sopra elencati, il trattamento vale per tutte le aziende che hanno a che fare con i dati di utenti privati e questo può trarre in inganno tante aziende perchè anche le informazioni dei dipendenti rientrano nel mondo del GDPR; questo significa che nessuno è escluso! A livello di dimensioni, anche il negozio sotto casa che raccoglie informazioni come: nome, cognome, indirizzo, telefono e mail, per offrire una tessera fedeltà, è obbligata ad ottemperare il regolamento. Tutto quello che consente l’identificazione dell’utente finale è soggetto alla protezione!
Le Fasi
Le 5 fasi del GDPR sono:
- Discover: verificare i dati presenti, chi può accedervi
- Control: limitare l’accesso ai dati solo a chi effettivamente deve utilizzarli
- Protection: stabilire delle regole per mettere in sicurezza la propria infrastruttura
- Report: generare dei report che dimostrano l’accesso ai dati
- Review: verifica globale della compliance aziendale
Le Sanzioni
Se oggi le aziende sono obbligate a seguire il GDPR ma non sono soggette a sanzioni, dopo il 25 maggio 2018 il rischio è di vedersi arrivare una multa fino a 20 milioni di euro o il 4% del fatturato globale annuo. Per quanto riguarda i liberi professionisti, la multa va in base al volume d’affari e dai beni posseduti. Ovviamente la gravita del fatto, la tipologia dei dati e la mancanza delle misure andrà ad impattare sulla grandezza della sanzione.
Le Soluzioni Offerte da Inside Technologies
Inside Technologies è molto attenta al tema della sicurezza e per questo è in grado affiancare le aziende, offrendo diverse soluzioni che vanno dall’utilizzo di Microsoft Azure, Microsoft Intune ed Office 365, passando a Netwrix e Veeam per garantire protezione ed auditing. I nostri esperti faranno un’analisi presso la vostra struttura per capire quali dati trattate e quali sono le strategie da adottare per mettere in sicurezza la vostra infrastruttura informatica, dandovi anche un parere legale (fondamentale in chiave GDPR).
Il consiglio è di non sottovalutare quello che prevede la normativa, perchè non è escluso che in futuro la legge venga ampliata anche per il trattamento dei dati B2B. E se le sanzioni non vi spaventano, provate a pensare al danno di immagine che può portare la perdita di informazioni. I vostri clienti si fiderebbero ancora di voi? Vi affiderebbero ancora i loro dati?
Perchè rischiare? Pensaci! Contattaci oggi all’indirizzo mail marketing@insidetechnologies.eu
