Logo ImpresaCity.it

RSA, come raggiungere la compliance al GDPR e ottenere maggior fiducia

Il percorso verso la conformità al nuovo regolamento per la la protezione dei dati e il valore della compliance come elemento di differenziazione

Il 25 maggio 2018 si avvicina e con esso la scadenza per essere conformi al General Data Protection Regulation (GDPR) dell'Unione Europea. In questo scenario, gran parte dell'attenzione è stata rivolta al peso dell'onere normativo che il GDPR impone e all’impatto delle sanzioni che verranno applicate per non aver rispettato i principi di protezione dei dati specificati.

Ma questa è una visione un po’ ristretta del problema; guardando al di là di questi aspetti più tecnici si può comprendere che l'impegno per essere conformi al GDPR può anche essere un elemento di differenziazione sul mercato, importante e significativo, più di quanto molti possano aver immaginato finora.

Analisti come Forrester sottolineano per esempio che i Security Decision Maker considerano la privacy come un differenziatore sulla Competition (vedi ad esempio il report Forrester: Global Business Technographics Security Survey, 2016), mentre Gartner evidenzia come privacy e breach/security-incident rappresentano i rischi che maggiormente influenzano gli investimenti in security (vedi Gartner: Security Buying Survey 2016).

Per le organizzazioni che iniziano ad avvicinarsi al GDPR con un programma di privacy già in vigore la difficoltà potrebbe essere maggiormente legata al fatto di inserire il GDPR in un solido programma di compliance e privacy esistente piuttosto che partire da zero. Le organizzazioni che saranno conformi al GDPR dimostreranno al legislatore e al mondo maggiore affidabilità e attenzione all’assessment e gestione dei rischi. Pertanto la conformità al GDPR potrà per molte aziende essere sinonimo di "ci si può assolutamente fidare di noi per proteggere i dati personali".

Un'organizzazione che si impegna a garantire la conformità al GDPR trasmette a coloro con cui fa del business un messaggio chiaro, ossia di aver adottato misure tecniche e organizzative appropriate in materia di privacy e sicurezza. Tutto ciò allo scopo di mantenere i dati personali al sicuro da violazioni perpetrate tramite attacchi informatici sia nei confronti della stessa organizzazione sia nei confronti di una terza parte alla quale è stata affidata l’elaborazione di tali dati. A tal fine, le aziende devono essere pronte a dimostrare che la propria organizzazione sia meritevole di fiducia e che sia già a buon punto lungo il percorso di conformità al GDPR per meritare il più alto livello di fiducia. In questo percorso, è necessario:

1. SAPERE COSA RIGUARDERA' ESATTAMENTE IL GDPR – può sembrare ovvio, ma la prima cosa da fare è essere preparati sulla normativa e relativi adempimenti.

2. ANALIZZARE LE ATTUALI CONDIZIONI DI RISCHIO - Individuare le aree di maggior rischio e pianificare attentamente come affrontarle. Conoscere a quali dati personali si ha accesso, dove li si sta raccogliendo, come li si processa e in che modo questi transitano dentro e fuori da un'organizzazione e come questi vengono elaborati da terze parti.

3. CONTROLLARE REGOLARMENTE LO STATO DI AVANZAMENTO DEI LAVORI - Determinare se i controlli sulla privacy e sicurezza, i processi e la governance dei dati in atto sono appropriati. È probabile che la maggior parte delle organizzazioni disponga di misure per salvaguardare i dati, come l’adozione di meccanismi di cifratura e relativa accurata gestione delle chiavi crittografiche, e queste misure possono avere un ruolo importante nel soddisfare alcuni dei requisiti GDPR per proteggere la privacy dei dati che l'organizzazione raccoglie e archivia.

4. GESTIRE IL RISCHIO DELLE TERZE PARTI – Qualsiasi organizzazione che abbia relazioni con fornitori e appaltatori che implicano il processing e la condivisione dei dati personali troverà il rischio GDPR più complicato dalla presenza di terze parti.

5. ESSERE PREPARATI AD AGIRE VELOCEMENTE - Una delle indicazioni chiave del GDPR è che il titolare del trattamento è tenuto a informare dell’avvenuta violazione l’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Inoltre, lo stesso titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo se la violazione presenta un rischio elevato per i suoi diritti e la sua libertà.

In sintesi, il raggiungimento della conformità al GDPR deve essere una priorità per molte organizzazioni da oggi al 25 maggio. Non solo, non dimentichiamo il fatto che i livelli di conformità dovranno essere garantiti in maniera regolare e continuativa. In questo percorso, occorre porre una forte attenzione a come guadagnare la fiducia del mercato. Nei mesi che restano prima dell’entrata in vigore della normativa, le organizzazioni potranno fare molto per pianificare e prepararsi all'impatto, in modo che l'effetto sulle operazioni sia ridotto al minimo. In questo scenario, RSA supporta le proprie aziende clienti nel percorso verso la conformità con tutta una suite di soluzioni e servizi.

Per ulteriori informazioni, visitate rsa.com/gdpr
Pubblicato il: 13/12/2017

Tag: gdpr rsa

Cosa pensi di questa notizia?

Speciali

speciali

MWC 2018

speciali

Red Hat Open Source Day, il futuro ha il sapore dell’open source