Il 14 aprile 2016 è stato approvato definitivamente il GDPR – Regolamento Europeo in materia di Data Protection.
La nuova norma va ad abrogare integralmente la direttiva 95/46/CE (Privacy) in materia di protezione dei dati personali ed entrerà definitivamente in vigore il 25 maggio 2018.
Da quel giorno è quasi passato uno dei due anni previsti per l’adozione da parte di tutti gli stati membri dell’Unione, ma in realtà poco è cambiato. Secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano, in Italia solo un’azienda su cinque conosce le implicazioni del Regolamento e poco meno di una su dieci ha avviato un serio progetto di adeguamento. (Fonte: https://www.ictsecuritymagazine.com/notizie/general-data-protection-regulation-manca-solo-un-anno-alladozione/)
Le aziende si trovano pertanto nella condizione di dover soddisfare nuove esigenze:
- rendere trasparente e comprovabile l’attività svolta (riduzione dei rischi di sanzione);
- mantenere il modello organizzativo costantemente aggiornato e adeguato;
- ridurre i costi e gli impatti organizzativi conseguenti.
Le novità del GDPR
Il Regolamento impone un approccio basato sul rischio il cui obiettivo è quello di tutelare la privacy delle persone fisiche.
Fra le principali novità occorre ricordare:
- Obbligo e necessità di documentare le violazioni (Data Breach)
- Il Diritto all’Oblio e, più in generale, i diritti degli interessati
- Il DPO – Data Protection Officer
- La Responsabilità del Titolare del Trattamento Dati
- La Privacy by Design e by Default
- La Valutazione d’impatto (PIA)
- Il registro dei trattamenti
- Le sanzioni
Cosa possiamo fare fin da subito?
Vi sono alcuni passaggi utili che possono essere seguiti per avvicinarsi alla compliance del Regolamento. Queste misure non possono e non devono sostituire un’analisi approfondita e specifica sul GDPR e ciò che ne consegue ma sono un buon punto di partenza.
- Data Discovery: Molti Data Breach hanno origine da copie o subset di dati aziendali dimenticati. E’ fondamentale riconoscere e gestire le informazioni che necessitano di una corretta Data Privacy.
- Data Masking: Un corretto sub-setting e Masking dei dati aziendali può contribuire a mantenere invariata l’integrità delle informazioni.
- Crittografia: Le funzioni di crittografia dei dati vengono attivate in meno del 10% delle aziende, ma questa pratica può aumentare considerevolmente la sicurezza del dati.
- Essere compliant: se siete compliant a norme quali la ISO/IEC27001:2013, la gestione dei Log degli amministratori di sistema (Provvedimento dell’autorità garante del 27/11/2008 S.M.I.) o le Misure Minime ITC (se siete una PA), siete già a metà strada.