Forum Gdpr

GDPR: una sfida per il business, non solo per i dati

Non esiste una soluzione unica alle sfide presentate dal GDPR. Esistono però vari passi che un'azienda può seguire per contenere i suoi rischi

Autore: Redazione ImpresaCity

L’Italia parte favorita nell’applicazione del GDPR perché possiede una normativa nazionale particolarmente stringente e concettualmente vicina all’impianto del nuovo regolamento europeo. A pochi mesi dall’entrata in vigore del GDPR sussiste, tuttavia, ancora una forte necessità da parte delle aziende di comprenderne la complessità in termini di sfide e opportunità che esso sottende.

Dal punto di vista dei consumatori l’entrata in vigore del GDPR comporterà senza dubbio grandi benefici: sia in termini di trasparenza che di maggiore controllo su come vengono processati i dati, in modo da ridurre i furti di identità e prevenire le violazioni e i danni conseguenti.

Una maggiore responsabilità

Con la nuova normativa è stata ampliata la definizione di “dati personali”. Includendo, ed esempio, anche gli indirizzi di rete IP, o i dati genetici, qualora potrebbero in quale modo essere facilmente utilizzati per identificare un individuo, anche se non nominato direttamente.

I consumatori beneficeranno, inoltre, di un diritto alla privacy più esteso, continuando ad avere il diritto di richiedere una copia di tutti i dati personali che un’azienda detiene, ma anche di chiedere che i dati siano corretti o riservati, o definitivamente eliminati. Inoltre, a differenza dei tradizionali audit annuali, il regolamento richiede una compliance continua. Non si tratta più di una semplice casella da barrare una tantum ma sarà necessario rimanere in guardia tutto l'anno.

cybersecurity ts 100621287 orig 640x426

Rispettare la compliance al GDPR sarà, nel lungo periodo, uno tra gli indicatori di salute e di solidità del business di un’azienda. Il proprio impegno rispetto alla trasparenza e l’attenzione alla salvaguardia dei dati dei clienti e della loro privacy non rappresenteranno solo azioni lodevoli e di dedizione, ma avranno conseguenze redditizie per l’azienda stessa.

Come mitigare il rischio

Tuttavia, non esiste "la soluzione per il GDPR", nessuna risposta miracolosa a tutte le sue implicazioni e nessuno strumento di risoluzione rapida; indipendentemente da cosa i vendor di sicurezza possano promettere, è certo che il processo sarà complesso e la compliance non potrà essere garantita a priori. Sussistono però alcuni passi che le aziende possono intraprendere per contribuire a mitigare il rischio.

Condurre un approfondito risk assessment/gap analysis in ambito compliance GDPR - Individuare quali sono i dati personali e/o sensibili più importanti, dove e come vengono memorizzati e quali sono le maggiori aree di rischio. Pertanto il cosiddetto “registro dei trattamenti” avrà un ruolo centrale, così come la capacità di effettuare un risk assessment oggettivo sui dati ad alto rischio. Inoltre, non bisogna dimenticare che potrebbero esserci delle terze parti preposte all’effettivo processing dei dati in ambito GDPR e sulle quali bisognerà effettuare i dovuti controlli ed assessment di rischio.

Sviluppare controlli e processi adeguati - Gestire i dati personali e sensibili durante tutto il ciclo di vita, dal momento in cui vengono raccolti, attraverso l'autorizzazione e il consenso della persona interessata, fino all'elaborazione e la conferma dell'avvenuta cancellazione.

digital spectrum

Implementare strumenti di detection e di risposta in caso di incidenti di sicurezza - Avere la capacità di identificare dove e come è avvenuta una violazione, quali dati sono stati coinvolti e come è possibile mitigare ragionevolmente la minaccia – in modo veloce.

Avere un piano di risposta in caso di privacy breach - Un piano operativo che identifichi i principali stakeholder, definisca chiaramente i ruoli e le responsabilità del team di risposta dell'incidente ed elabori una strategia di comunicazione mettendo quanto accaduto in relazione al contesto aziendale: non operare per silos aziendali. Solo in questo modo è possibile creare una soluzione olistica di supporto alla compliance GDPR che aiuti ad eliminare i gap e contestualizzare eventuali incidenti rispetto al rischio di business.

È importante ricordare sempre la finalità per la quale il GDPR è progettato: proteggere i diritti delle persone alla privacy. Da questo punto di vista, gli stessi legislatori europei sono consapevoli che, nonostante si siano intraprese tutte le azioni corrette, il rischio di rimanere vittima di una breach è ancora elevato. Per questo, dal punto di vista delle aziende, è fondamentale poter dimostrare di avere fatto tutto il possibile, considerati attentamente tutti requisiti del GDPR e avendo adottato le misure necessarie per essere compliant.