Security managementSicurezza

GDPR, come riconoscerne le criticità nei processi di azienda

privacy-card-3x2
Google + Linkedin

Il GDPR verrà applicato con tutte le sue conseguenze sulle realtà produttive a partire dal 25 Maggio 2018. L’intento è restituire ai cittadini il pieno controllo sui propri dati personali, le aziende sono ancora ampiamente impreparate. L’analisi delle criticità con la guida di SAS

Con l’acronimo GDPR si indica il regolamento EU (General Data Protection Regulation) relativo alla sicurezza, alla privacy e all’integrità dei dati dei consumatori raccolti nei modi più svariati. Esso diventa pienamente effettivo nei Paesi EU a Maggio del 2018 (il 25 maggio), e se ne attenderanno i benefici complessivi negli anni successivi.

GDPR, l’esposizione delle aziende

Da subito si percepisce come la protezione delle informazioni personali e la capacità di custodirle integre diventerà presto priorità non di poco conto per tutte le realtà EU. Ogni consumatore e ogni cittadino avrà il diritto di conoscere con precisione come sono custoditi i dati personali e potrà richiederne la completa cancellazione su richiesta. Adeguarsi sarà tutt’altro che semplice, allo stesso tempo sarà molto importante, perché le aziende che non dimostreranno di avere declinato perfettamente nelle proprie procedure il GDPR saranno passibili di sanzioni fino al 4 percento del loro fatturato globale fino a 20 milioni di euro.

Bisognerà disporre di personale competente, processi snelli e strumenti adeguati per riconoscere in tempo reale di quali dati si è in possesso per ogni cliente/persona/consumatore, dove risiedono questi dati, comprese le informazioni relative a tutti i backup, come cancellarli immediatamente, con la certezza che essi siano custoditi nel pieno rispetto della normativa vigente, e allo stesso modo siano trattati.
Non basta perché rischierà davvero la chiusura (per l’impatto sugli economics) quel business che non saprà indicare su richiesta anche come, dove e per quali motivi sono trattati i dati. I consumatori/clienti potranno richiedere la cancellazione integrale dei loro dati da tutti gli archivi aziendali, ma potrebbero semplicemente anche richiedere che fossero cancellate solo determinate informazioni o tipologie di informazioni. E’ insomma sancito il concetto secondo cui il dato personale non può essere ceduto in senso assoluto al punto da perderne il controllo.

GDPR, le sfide 

Si arriva in fretta alla considerazione sulle sfide che attendono le aziende. Noi seguiamo in questo percorso un’analisi di SAS. Tra le criticità evidenti c’è indubbiamente il problema della duplicazione dei dati e del loro accesso da un numero considerevole di postazioni. Subito a seguire sarà importante affrontare  il tema relativo alle tecniche di de-identificazione, che abilitano in modo agile la compliance relativa alla protezione del dato, ma allo stesso tempo possono renderlo troppo anonimo per lavorarci sopra.

GDPR - Infografica SAS sulle sfide aziendali relativamente a GDPR
GDPR – Infografica SAS sulle sfide aziendali relativamente a GDPR (per aumentare la visibilità basta fare clic sull’immagine)

SAS parla di Anonimizzazione (semplicemente rimuovendo il dato), Pseudonimizzazione (rimpiazzando i dati principali con pseudonimi), Crittografia (codificando i dati personali). Le aziende possono partire confrontandosi con la norma attraverso il Data Protection Impact Assessment basato su questionario, con il sistema Risk Rating ISO27001, elaborando la creazione di un processo standard di gestione degli incident sui dati relativamente alle azioni da intraprendere, alle responsabilità alla documentazione e al reporting, stilando una precisa tabella di ruoli e responsabilità collegando ai flussi di dati sistemi, processi e titolari. Andrà ovviamente ri-pensata completamente anche la strategia di comunicazione interna relativa alla gestione delle policy, al loro ciclo di vita, per mantenere un controllo puntuale e centrale di tutte le policy in atto, al servizio di tutti. 

L’approccio di SAS 

SAS ovviamente propone su questi temi le proprie soluzioni, sottolineando come non ci possa essere una divisione in azienda che possa ritenersi estranea al tema e come sia necessaria la piena collaborazione – una tendenza già emersa tra l’altro in ogni ambito 4.0 – quando si parla di digitalizzazione dei processi. Funzione chiave quando la regolamentazione entrerà in vigore a tutti gli effetti a Maggio 2018, sarà quella del Data Protection Office che dovrebbe riportare direttamente al board, e ovviamente ritenersi responsabile anche relativamente agli aggiornamenti dei regolamenti come all’effettiva compliance della propria azienda rispetto al tema. Direttamente coinvolti saranno anche: responsabili marketing, CTO, gli uffici legali e i CSO. 

SAS mette in campo le soluzioni di analytics che comprendono soluzioni di gestione dei dati e di validazione della loro qualità, sistemi di protezione e soluzioni in cinque aree distinte: identificazione (comprende anche soluzioni di estrazione da basi strutturate e destrutturate), analisi dei flussi (monitoraggio e charting dello storage, analisi del margine di rischio, valutazione di impatto, monitoraggio delle azioni e dei processi e loro documentazione), procedure di log-in (con la documentazione su come sono utilizzati i sistemi e inerenti alle violazioni), policy sui diritti di accesso (per il controllo granulare su ogni evento), gestione degli incident. Un punto molto importante questo, perché un’azienda dovrà riportare doviziosamente cosa è accaduto relativamente a dati persi o violatientro le 72 ore, con le specifiche sulle procedure adottate per risolvere il problema.