Scenario

Il processo di digitalizzazione e di globalizzazione della nostra economia si basa sempre più sul controllo e sul trattamento dei dati personali. Di pari passo crescono gli attacchi hacker per estorcere denaro o informazioni, mentre la percezione del rischio reale resta pericolosamente bassa.

A livello europeo, si è cercato di rispondere al problema attraverso il GDPR, che entrerà in vigore dal 25 maggio 2018.

Le conseguenze a livello aziendale riguarderanno

  • il flusso del trattamento dei dati
  • la struttura organizzativa
  • i processi di business
  • le tecnologie di sicurezza IT.

L’Italia parte favorita nell’applicazione del GDPR perché possiede una normativa nazionale particolarmente stringente e vicina all’impianto del nuovo regolamento europeo. Nonostante questo, il 78% delle aziende del nostro Paese non è ancora pronto a soddisfarne tutti i requisiti.

Che cos’è il GDPR

Il GDPR (Regolamento Generale sulla Protezione dei Dati) approvato dall’Unione Europea, ha come obiettivo primario la tutela dei cittadini in tema di dati personali, di fatto integrando il Codice della Privacy.

Gli utenti potranno contare su

  • il diritto di accesso ai propri dati
  • il diritto all’oblio
  • la possibilità di revocare il consenso a determinati trattamenti.

Il GDPR

  • impatta tutte le aziende che raccolgono, memorizzano ed elaborano informazioni personali di cittadini dell’Unione
  • uniforma la protezione dei dati all’interno dell’Unione
  • impone alle aziende di riorganizzare la gestione dei dati
  • sarà applicato in tutta Europa e a tutte le aziende extra EU che trattano i dati di cittadini europei.

Le aziende dovranno

  • dimostrare di essere conformi alle richieste del GDPR
  • segnalare ogni violazione di dati (entro 72 ore dall’avvenimento)
  • pagare pensati sanzioni in caso di inadempienza (fino al 4% del fatturato annuo globale).

L’obbligo del suo adempimento diventa un’occasione per

  • rendere l’azienda pienamente consapevole di tutti i propri processi
  • agire meglio e tempestivamente (non solo nelle situazioni di crisi)
  • vantare l’effettivo pieno controllo sulle informazioni (il primo bene da tutelare, chiunque ne sia il proprietario).

Il GDPR e la protezione dei dati personali

Il GDPR ha ampliato la definizione di “dati personali”. Ora possono includere anche gli indirizzi di rete IP, o i dati genetici, che potrebbero in quale modo essere utilizzati per identificare un individuo, anche se non nominato direttamente.

I consumatori beneficeranno di un diritto alla privacy più esteso. Continueranno ad avere il diritto di richiedere una copia di tutti i dati personali che un’azienda detiene, ma anche di chiedere che i dati siano corretti o riservati, o definitivamente eliminati.

In caso di violazione dei dati personali, l’azienda che li detiene dovrà dare comunicazione all’autorità di controllo entro 72 ore. Dovrà fornire informazioni quali il numero di record compromessi, le probabili conseguenze per gli individui e le misure adottate per rimediare al danno.

Occorrerà dimostrare di aver adottato tutti i mezzi possibili per proteggere la propria infrastruttura e per evitare possibili attacchi. A differenza dei tradizionali audit annuali, il regolamento richiede una compliance continua.

Sicurezza informatica: le minacce

I dispositivi connessi all’infrastruttura aziendale sono aumentati e di conseguenza i punti di accesso sulla rete per eventuali attacchi informatici. Tuttavia le minacce alla sicurezza informatica non sono dovute soltanto agli attacchi di hacker esterni.

I punti deboli di un’infrastruttura sono dati anche da

  • le stesse macchine intese in senso fisico (rotture hardware, furti, dispositivi inadeguati)
  • la mancanza di policy interne
  • l’inadeguata formazione all’utilizzo degli strumenti informatici da parte dei collaboratori.

Come proteggersi da attacchi o perdite di dati

Per prevenire e proteggersi da attacchi o perdite di dati sarà opportuno lavorare su

  • comprensione dei punti critici della propria infrastruttura interni ed esterni
  • collaborazione aziendale (il reparto IT interviene, ma ciascun collaboratore deve evitare comportamenti che potrebbero minacciare la sicurezza del sistema)
  • applicazione degli strumenti necessari (protezione a livello perimetrale ed endpoint, uso di sistemi operativi aggiornati, sistemi di backup e crittografia).

Molte attività di gestione dei dati dovranno essere automatizzate. Inoltre potrà essere opportuno esternalizzare una parte dei sistemi di gestione delle informazioni critiche, portando però a un nuovo livello il tracciamento del dato e la sua privacy.

Perché adeguarsi al GDPR

Dal punto di vista delle aziende il maggior deterrente resta il rischio di multe fino a 20 milioni di euro (o un massimo del 4% del fatturato annuo).

Ma altrettanto importante è evitare

  • perdite di dati
  • perdite di tempo
  • costi informatici di recupero
  • costi in termini di fermo lavorativo
  • lesioni dell’immagine aziendale.

Dal punto di vista dei consumatori l’entrata in vigore del GDPR comporterà grandi benefici. Non solo in termini di trasparenza, ma anche di maggiore controllo su come vengono processati i dati, in modo da ridurre i furti di identità e prevenire le violazioni e i danni conseguenti.