GDPR: manca solo un anno all’effettiva entrata in vigore


Il 14 aprile 2016 è stato approvato definitivamente il GDPR – Regolamento Europeo in materia di Data Protection.
La nuova norma va ad abrogare integralmente la direttiva 95/46/CE (Privacy) in materia di protezione dei dati personali ed entrerà definitivamente in vigore il 25 maggio 2018.

Da quel giorno è quasi passato uno dei due anni previsti per l’adozione da parte di tutti gli stati membri dell’Unione, ma in realtà poco è cambiato. Secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano, in Italia solo un’azienda su cinque conosce le implicazioni del Regolamento e poco meno di una su dieci ha avviato un serio progetto di adeguamento. (Fonte: https://www.ictsecuritymagazine.com/notizie/general-data-protection-regulation-manca-solo-un-anno-alladozione/)

Le aziende si trovano pertanto nella condizione di dover soddisfare nuove esigenze:

  • rendere trasparente e comprovabile l’attività svolta (riduzione dei rischi di sanzione);
  • mantenere il modello organizzativo costantemente aggiornato e adeguato;
  • ridurre i costi e gli impatti organizzativi conseguenti.

Le novità del GDPR

Il Regolamento impone un approccio basato sul rischio il cui obiettivo è quello di tutelare la privacy delle persone fisiche.

Fra le principali novità occorre ricordare:

  • Obbligo e necessità di documentare le violazioni (Data Breach)
  • Il Diritto all’Oblio e, più in generale, i diritti degli interessati
  • Il DPO – Data Protection Officer
  • La Responsabilità del Titolare del Trattamento Dati
  • La Privacy by Design e by Default
  • La Valutazione d’impatto (PIA)
  • Il registro dei trattamenti
  • Le sanzioni

Cosa possiamo fare fin da subito?

Vi sono alcuni passaggi utili che possono essere seguiti per avvicinarsi alla compliance del Regolamento. Queste misure non possono e non devono sostituire un’analisi approfondita e specifica sul GDPR e ciò che ne consegue ma sono un buon punto di partenza.

  • Data Discovery: Molti Data Breach hanno origine da copie o subset di dati aziendali dimenticati. E’ fondamentale riconoscere e gestire le informazioni che necessitano di una corretta Data Privacy.
  • Data Masking: Un corretto sub-setting e Masking dei dati aziendali può contribuire a mantenere invariata l’integrità delle informazioni.
  • Crittografia: Le funzioni di crittografia dei dati vengono attivate in meno del 10% delle aziende, ma questa pratica può aumentare considerevolmente la sicurezza del dati.
  • Essere compliant: se siete compliant a norme quali la ISO/IEC27001:2013, la gestione dei Log degli amministratori di sistema (Provvedimento dell’autorità garante del 27/11/2008 S.M.I.) o le Misure Minime ITC (se siete una PA), siete già a metà strada.