6 modifiche fondamentali per la protezione dei dati tramite il Regolamento generale sulla protezione dei dati

6 modifiche fondamentali per la protezione dei dati tramite il Regolamento generale sulla protezione dei dati

Con l'entrata in vigore fra poco meno di un anno del Regolamento generale sulla protezione dei dati (GDPR), le società dovrebbero già iniziare a prepararsi concretamente.  Tuttavia non stanno agendo con adeguata rapidità, e rimandano le questioni di conformità all'ultimo minuto. Esamineremo i sei aspetti che le società dovrebbero prendere in considerazione nel percorso verso la conformità.

Esecuzione obbligatoria dell'inventario dei dati e registrazione di tutte le elaborazioni dei dati personali a livello europeo

L'analista di IDC Duncan Brown afferma che si tratta di qualcosa che un'azienda ben gestita farà comunque, ma è evidente che se qualcuno ha già provveduto, molti altri non hanno ancora iniziato.

David Kemp, consulente aziendale specialista per l'area EMEA per Micro Focus, ritiene che le aziende dovrebbero innanzitutto tentare di ridurre il data lake.  Le aziende hanno troppi dati, alcuni vecchi di anni, conservati in sistemi disparati.

"Le aziende dovrebbero considerarla un'opportunità", afferma, "praticamente, qualcosa che hanno sempre voluto fare da anni; lo storage è costoso".

Notifica obbligatoria delle violazioni dei dati alle autorità di regolamentazione e agli individui

La notifica delle violazioni dei dati è uno dei cambiamenti più eclatanti introdotti dal Regolamento generale sulla protezione dei dati. L'importante, spiega Brown, è che la notifica arrivi non più tardi di 72 ore dal momento in cui la violazione viene rilevata. Il responsabile del trattamento dati (l'azienda sottoposta all'obbligo di notifica dei dati) deve segnalare la violazione della sicurezza entro questo breve lasso di tempo, il che non è sempre facile.

"In media, le violazioni vengono scoperte nel giro di 200 giorni", ha affermato, aggiungendo che "praticamente per due terzi dell'anno qualcuno rimane insediato nel sistema aziendale".

Secondo Brown, in questo caso il Regolamento generale sulla protezione dei dati offre un'ottima guida. "Le aziende devono quindi implementare sistemi per rilevare le violazioni rapidamente e predisporre un piano di risposta agli incidenti. L'altro requisito consiste nel notificare i soggetti interessati. È essenziale parlare al cliente ancor prima di contattare l'autorità di vigilanza".

Questi requisiti mettono in luce un altro problema: la carenza di strumenti di protezione. Le società hanno investito molto nella protezione, ma sussiste un grave problema. "La maggior parte delle aziende ha acquistato quanto di meglio possa permettersi, ma si tratta di soluzioni che non comunicano poiché sono scarsamente integrate", afferma Brown.

Per soddisfare i requisiti del Regolamento generale sulla protezione dei dati, le aziende dovrebbero avvalersi di strumenti di sicurezza integrati. "La gamma dei prodotti è attualmente a rischio, e abbiamo già assistito a casi in cui le società si sono rifiutate di acquistare prodotti di sicurezza fino a quando non risultassero integrabili", aggiunge Brown.

Il diritto all'oblio (che consente alle persone di richiedere la cancellazione dei dati personali)

Nel 2014, la Corte Europea di Giustizia ha ordinato a Google di eliminare riferimenti specifici a un cittadino europeo in conformità al cosiddetto "diritto all'oblio". Un cittadino spagnolo, Mario Costeja Gonzalez, affermava che Google conservava sue informazioni che esercitavano un impatto negativo sulla sua attività imprenditoriale. Google ha rifiutato di farlo, affermando di non essere un responsabile del trattamento dati (l'articolo cui faceva riferimento Gonzalez si trovava sul sito Web di una pubblicazione) e che le informazioni, relative a un bando d'asta, erano pubblicamente disponibili. Google ha perso e, in conseguenza di ciò, ha dovuto soddisfare migliaia di richieste di diritto all'oblio.

Tale diritto in materia di protezione dei dati personali a livello europeo, definito anche come "diritto alla cancellazione", esiste già ed è un elemento cardine del Regolamento generale sulla protezione dei dati, afferma Judith Vieberink, avvocato della First Lawyers, studio legale con sede nei Paesi Bassi.

"Dovrebbe essere gestito a livello centrale al fine di consentire un processo di cancellazione dei dati automatizzato".

Ciò richiede la collaborazione di reparti diversi. "Si tratta di un qualcosa che dovrebbe essere integrato nell'helpdesk IT, poiché l'automazione del processo risulterebbe agevolata", aggiunge. Altri esperti sostengono che questo approccio deve andare di pari passo con la richiesta di consulenza legale per garantire la corretta applicazione del Regolamento generale sulla protezione dei dati.

Valutazioni dell'impatto sulla privacy di routine

In base al Regolamento generale sulla protezione dei dati, è consigliabile svolgere valutazioni dell'impatto sulla privacy, specialmente nei casi in cui l'elaborazione dei dati possa mettere a maggior rischio le libertà e i diritti dell'individuo. Potrebbe essere considerato come un adempimento burocratico, ma alcuni sostengono che anche questo rappresenti un'opportunità di business.

Dane Warren, responsabile della sicurezza IT presso Intertek Group, afferma che le aziende dovrebbero effettuare valutazioni dell'impatto sulla privacy per identificare quali dati siano conservati e dove.

Secondo lui, anche questo rappresenta un vantaggio: "Le organizzazioni stanno effettuando il rilevamento dei dati e comprendono meglio le applicazioni".

Le società non sono tuttavia lasciate da sole, spiega Brown, di IDC. "Per la valutazione dell'impatto sulla privacy, esistono appositi strumenti. Esistono inoltre linee guida dell'International Association of Privacy Professionals, quindi non si tratta di semplici congetture".

Ma Brown sottolinea che non si tratta di un aspetto da trascurare, poiché il Regolamento generale sulla protezione dei dati non riguarda solo la violazione dei dati.

"Un'azienda può risultare non conforme al Regolamento generale sulla protezione dei dati e non subire alcuna violazione".  È importante che il consiglio di amministrazione prenda sul serio le valutazioni dell'impatto sulla privacy, rendendole una parte fondamentale della valutazione del rischio. "L'autorità di vigilanza avrà una visione confusa sulla questione se verrà interpellata solo al termine delle riunioni del consiglio di amministrazione", aggiunge.

Responsabili della protezione dati (DPO) obbligatori

Uno dei principali cambiamenti introdotti dal Regolamento generale sulla protezione dei dati è l'importanza del responsabile della protezione dati, o DPO,  figura che sarà obbligatoria per il settore pubblico.

Che tipo di esperienza deve avere questa persona? Obiettivamente le organizzazioni non stanno affannandosi per nominare il DPO; secondo Kemp, di Micro Focus, esistono ancora posti vacanti per 28.000 DPO in tutta l'Unione Europea.

Una delle difficoltà sta nel fatto che ci sono poche persone che soddisfano tutti i requisiti. Secondo Kemp, dato che esistono pochi DPO è necessario un programma di formazione.

"Molte saranno persone già responsabili degli audit interni", afferma, "dato che l'audit è già di per sé un'applicazione delle regole. Ma vedo anche un numero crescente di studi legali che adotta l'"internalizzazione" dei servizi, per cui forniscono ai clienti avvocati in qualità di DPO".

Vieberink sottolinea che gli studi legali possono anche fungere da istituti di formazione. "I DPO devono sapere un po' di tutto, quindi offriamo corsi con 30 diversi moduli che riguardano contabilità, audit, temi giuridici e tecnici",  aggiungendo inoltre che non si tratta di una posizione adatta a neolaureati.

"Questo è un ruolo adatto a persone di circa 45 [anni] che vogliono intraprendere una nuova carriera e considerano il ruolo di DPO una nuova opportunità". Il DPO non è un ruolo extra o facoltativo per le aziende, le quali devono quindi assumerne uno prima possibile.

 

Portabilità e cancellazione dei dati

Questo è un aspetto più controverso del regolamento, afferma Brown, di IDC. "Le autorità di regolamentazione non hanno mai veramente capito la complessità tecnica della questione, perché, da un punto di vista tecnologico, esistono alcune sfide reali. "Ad esempio", spiega, "se i dati sono stati archiviati e vi è una interruzione, non vi sono difficoltà nel ripristino dall'archivio".  Afferma inoltre che è necessario che esistano processi per assicurare che i dati da eliminare vengano effettivamente eliminati.

Ma non è solo un problema di complessità, poiché secondo Brown esiste anche un'altra questione, che riguarda la comprensione di cosa siano i dati personali, chiedendosi infatti: "Cosa si intende esattamente per dati?".

La definizione è complessa. "Il regolamento dedica mezza pagina a questo aspetto, ma spiegarlo in termini tecnici è difficile", afferma. Questo aspetto del Regolamento generale sulla protezione dei dati è uno di quelli in cui è possibile riscontrare discrepanze tra teoria e pratica. "Tuttavia", continua Brown, "poter operare in conformità a quanto stabilito dalla legge può costituire un vantaggio competitivo".

Responsabile della conformità dei dati (CCO) Responsabile della protezione dei dati (DPO) Responsabile della sicurezza di informazioni e comunicazione (CISO) Team legali Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond