Questa notizia è presente nello Speciale:
Forum Gdpr
RSA, come raggiungere la compliance al GDPR e ottenere maggior fiducia
Il percorso verso la conformità al nuovo regolamento per la la protezione dei dati e il valore della compliance come elemento di differenziazione
Il 25 maggio 2018 si avvicina e con esso la scadenza per essere conformi al General Data Protection Regulation (GDPR) dell'Unione Europea. In questo scenario, gran parte dell'attenzione è stata rivolta al peso dell'onere normativo che il GDPR impone e all’impatto delle sanzioni che verranno applicate per non aver rispettato i principi di protezione dei dati specificati.
Ma questa è una visione un po’ ristretta del problema; guardando al di là di questi aspetti più tecnici si può comprendere che l'impegno per essere conformi al GDPR può anche essere un elemento di differenziazione sul mercato, importante e significativo, più di quanto molti possano aver immaginato finora.
Analisti come Forrester sottolineano per esempio che i Security Decision Maker considerano la privacy come un differenziatore sulla Competition (vedi ad esempio il report Forrester: Global Business Technographics Security Survey, 2016), mentre Gartner evidenzia come privacy e breach/security-incident rappresentano i rischi che maggiormente influenzano gli investimenti in security (vedi Gartner: Security Buying Survey 2016).
Per le organizzazioni che iniziano ad avvicinarsi al GDPR con un programma di privacy già in vigore la difficoltà potrebbe essere maggiormente legata al fatto di inserire il GDPR in un solido programma di compliance e privacy esistente piuttosto che partire da zero. Le organizzazioni che saranno conformi al GDPR dimostreranno al legislatore e al mondo maggiore affidabilità e attenzione all’assessment e gestione dei rischi. Pertanto la conformità al GDPR potrà per molte aziende essere sinonimo di "ci si può assolutamente fidare di noi per proteggere i dati personali".
Un'organizzazione che si impegna a garantire la conformità al GDPR trasmette a coloro con cui fa del business un messaggio chiaro, ossia di aver adottato misure tecniche e organizzative appropriate in materia di privacy e sicurezza. Tutto ciò allo scopo di mantenere i dati personali al sicuro da violazioni perpetrate tramite attacchi informatici sia nei confronti della stessa organizzazione sia nei confronti di una terza parte alla quale è stata affidata l’elaborazione di tali dati. A tal fine, le aziende devono essere pronte a dimostrare che la propria organizzazione sia meritevole di fiducia e che sia già a buon punto lungo il percorso di conformità al GDPR per meritare il più alto livello di fiducia. In questo percorso, è necessario:
1. SAPERE COSA RIGUARDERA' ESATTAMENTE IL GDPR – può sembrare ovvio, ma la prima cosa da fare è essere preparati sulla normativa e relativi adempimenti.
2. ANALIZZARE LE ATTUALI CONDIZIONI DI RISCHIO - Individuare le aree di maggior rischio e pianificare attentamente come affrontarle. Conoscere a quali dati personali si ha accesso, dove li si sta raccogliendo, come li si processa e in che modo questi transitano dentro e fuori da un'organizzazione e come questi vengono elaborati da terze parti.
3. CONTROLLARE REGOLARMENTE LO STATO DI AVANZAMENTO DEI LAVORI - Determinare se i controlli sulla privacy e sicurezza, i processi e la governance dei dati in atto sono appropriati. È probabile che la maggior parte delle organizzazioni disponga di misure per salvaguardare i dati, come l’adozione di meccanismi di cifratura e relativa accurata gestione delle chiavi crittografiche, e queste misure possono avere un ruolo importante nel soddisfare alcuni dei requisiti GDPR per proteggere la privacy dei dati che l'organizzazione raccoglie e archivia.
4. GESTIRE IL RISCHIO DELLE TERZE PARTI – Qualsiasi organizzazione che abbia relazioni con fornitori e appaltatori che implicano il processing e la condivisione dei dati personali troverà il rischio GDPR più complicato dalla presenza di terze parti.
5. ESSERE PREPARATI AD AGIRE VELOCEMENTE - Una delle indicazioni chiave del GDPR è che il titolare del trattamento è tenuto a informare dell’avvenuta violazione l’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Inoltre, lo stesso titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo se la violazione presenta un rischio elevato per i suoi diritti e la sua libertà.
In sintesi, il raggiungimento della conformità al GDPR deve essere una priorità per molte organizzazioni da oggi al 25 maggio. Non solo, non dimentichiamo il fatto che i livelli di conformità dovranno essere garantiti in maniera regolare e continuativa. In questo percorso, occorre porre una forte attenzione a come guadagnare la fiducia del mercato. Nei mesi che restano prima dell’entrata in vigore della normativa, le organizzazioni potranno fare molto per pianificare e prepararsi all'impatto, in modo che l'effetto sulle operazioni sia ridotto al minimo. In questo scenario, RSA supporta le proprie aziende clienti nel percorso verso la conformità con tutta una suite di soluzioni e servizi.
Per ulteriori informazioni, visitate rsa.com/gdpr
Ma questa è una visione un po’ ristretta del problema; guardando al di là di questi aspetti più tecnici si può comprendere che l'impegno per essere conformi al GDPR può anche essere un elemento di differenziazione sul mercato, importante e significativo, più di quanto molti possano aver immaginato finora.
Analisti come Forrester sottolineano per esempio che i Security Decision Maker considerano la privacy come un differenziatore sulla Competition (vedi ad esempio il report Forrester: Global Business Technographics Security Survey, 2016), mentre Gartner evidenzia come privacy e breach/security-incident rappresentano i rischi che maggiormente influenzano gli investimenti in security (vedi Gartner: Security Buying Survey 2016).
Per le organizzazioni che iniziano ad avvicinarsi al GDPR con un programma di privacy già in vigore la difficoltà potrebbe essere maggiormente legata al fatto di inserire il GDPR in un solido programma di compliance e privacy esistente piuttosto che partire da zero. Le organizzazioni che saranno conformi al GDPR dimostreranno al legislatore e al mondo maggiore affidabilità e attenzione all’assessment e gestione dei rischi. Pertanto la conformità al GDPR potrà per molte aziende essere sinonimo di "ci si può assolutamente fidare di noi per proteggere i dati personali".
Un'organizzazione che si impegna a garantire la conformità al GDPR trasmette a coloro con cui fa del business un messaggio chiaro, ossia di aver adottato misure tecniche e organizzative appropriate in materia di privacy e sicurezza. Tutto ciò allo scopo di mantenere i dati personali al sicuro da violazioni perpetrate tramite attacchi informatici sia nei confronti della stessa organizzazione sia nei confronti di una terza parte alla quale è stata affidata l’elaborazione di tali dati. A tal fine, le aziende devono essere pronte a dimostrare che la propria organizzazione sia meritevole di fiducia e che sia già a buon punto lungo il percorso di conformità al GDPR per meritare il più alto livello di fiducia. In questo percorso, è necessario:
1. SAPERE COSA RIGUARDERA' ESATTAMENTE IL GDPR – può sembrare ovvio, ma la prima cosa da fare è essere preparati sulla normativa e relativi adempimenti.
2. ANALIZZARE LE ATTUALI CONDIZIONI DI RISCHIO - Individuare le aree di maggior rischio e pianificare attentamente come affrontarle. Conoscere a quali dati personali si ha accesso, dove li si sta raccogliendo, come li si processa e in che modo questi transitano dentro e fuori da un'organizzazione e come questi vengono elaborati da terze parti.
3. CONTROLLARE REGOLARMENTE LO STATO DI AVANZAMENTO DEI LAVORI - Determinare se i controlli sulla privacy e sicurezza, i processi e la governance dei dati in atto sono appropriati. È probabile che la maggior parte delle organizzazioni disponga di misure per salvaguardare i dati, come l’adozione di meccanismi di cifratura e relativa accurata gestione delle chiavi crittografiche, e queste misure possono avere un ruolo importante nel soddisfare alcuni dei requisiti GDPR per proteggere la privacy dei dati che l'organizzazione raccoglie e archivia.
4. GESTIRE IL RISCHIO DELLE TERZE PARTI – Qualsiasi organizzazione che abbia relazioni con fornitori e appaltatori che implicano il processing e la condivisione dei dati personali troverà il rischio GDPR più complicato dalla presenza di terze parti.
5. ESSERE PREPARATI AD AGIRE VELOCEMENTE - Una delle indicazioni chiave del GDPR è che il titolare del trattamento è tenuto a informare dell’avvenuta violazione l’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Inoltre, lo stesso titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo se la violazione presenta un rischio elevato per i suoi diritti e la sua libertà.
In sintesi, il raggiungimento della conformità al GDPR deve essere una priorità per molte organizzazioni da oggi al 25 maggio. Non solo, non dimentichiamo il fatto che i livelli di conformità dovranno essere garantiti in maniera regolare e continuativa. In questo percorso, occorre porre una forte attenzione a come guadagnare la fiducia del mercato. Nei mesi che restano prima dell’entrata in vigore della normativa, le organizzazioni potranno fare molto per pianificare e prepararsi all'impatto, in modo che l'effetto sulle operazioni sia ridotto al minimo. In questo scenario, RSA supporta le proprie aziende clienti nel percorso verso la conformità con tutta una suite di soluzioni e servizi.
Per ulteriori informazioni, visitate rsa.com/gdpr
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
