Indipendentemente dal luogo in cui si trova la vostra azienda, se controllate, raccogliete o condividete dati personali appartenenti a cittadini dell’UE, dovrete essere conformi al Regolamento generale sulla protezione dei dati (GDPR).
Il GDPR entrerà in vigore ufficialmente il 25 maggio e qualsiasi azienda trovata non conforme dopo quella data potrebbe incappare in multe salate (fino a 20 milioni di euro o il 4% del fatturato globale annuale di un’organizzazione).
L’idea alla base del GDPR è quella di proteggere la privacy dei cittadini dell’UE dando loro un maggiore controllo sul modo in cui i loro dati personali sono ottenuti, elaborati e condivisi, nonché sulla visibilità su come e dove essi vengono utilizzati.
Il regolamento impone reali conseguenze ai raccoglitori di dati che non si prendono cura delle informazioni che ottengono. Inoltre, aumenta la responsabilità di tali organizzazioni per garantire che siano consapevoli dei dati che raccolgono, di come sono archiviati e di come sono protetti.
Per molte organizzazioni che gestiscono i dati, questo significa uno spostamento dei loro processi di raccolta dall’inizio alla fine e una visione approfondita del tipo di informazioni che stanno ottenendo, di quanto è sicuro e, in primo luogo, di una valutazione onesta sull’opportunità o meno di acquisirli.
Non basta più raccogliere i dati degli utenti, il GDPR richiede che le organizzazioni raccolgano solo quelli degli utenti laddove esiste una “base legale” per farlo, e tale base deve essere documentata.
Come ha dichiarato a Naked Security il CISO Sophos, Ross McKerchar, in ottobre, il GDPR sposta gli equilibri di potere trasformando i dati da una risorsa in una potenziale responsabilità. Garantire che i dati vengano eliminati non appena non sono più necessari diventa “una misura di difesa profonda – meno si memorizza meno si ha da perdere”.
I gestori di dati potrebbero aver bisogno di attuare processi di consenso più informati quando ottengono i dati dei clienti o degli utenti, in modo che i cittadini dell’UE siano pienamente consapevoli di ciò che stanno scegliendo di fare quando affidano a un’organizzazione le proprie informazioni personali identificative (PII).
I cittadini dell’UE possono richiedere informazioni sui dati detenuti, tramite una richiesta di accesso – un rapporto scritto che deve essere inviato su richiesta che spieghi quali dati sono conservati su di loro, perché vengono utilizzati e con chi sono stati condivisi. I cittadini possono anche richiedere che tutti i dati in essi contenuti vengano cancellati.
Un altro obiettivo del GDPR è rendere le organizzazioni molto più proattive nel divulgare una violazione dei dati, qualora si dovesse verificare. Questo è il motivo per cui il GDPR richiede che qualsiasi persona interessata da una violazione dei dati la notifichi entro 72 ore dalla scoperta.
L’implementazione del GDPR non è una scatola tecnologica da controllare, è in gran parte una questione di creazione e formalizzazione dei processi per gestire i nuovi requisiti che introduce.
Se il GDPR è una preoccupazione per la vostra attività, è probabile che abbiate messo un po’ di ordine “in casa vostra” negli ultimi tempi. Ma con qualche settimana di tempo da qui alla scadenza finale, non può far male controllare che la vostra organizzazione sia sulla strada giusta: effettuate il test di conformità al GDPR di Sophos per essere tranquilli: sono solo sei domande!
Lascia un commento