Il 28 gennaio ricorre il “Data Protection Day” e l’occasione è ideale per ricordare ad aziende e utenti che non lo abbiano già fatto, di iniziare a pianificare la riorganizzazione delle loro policy aziendali al fine di essere conformi alle nuove norme del General Data Protection Regulation (GDPR) che entrerà in vigore nel maggio del 2018.
Marco D’Elia, Country Manager di Sophos Italia, illustra le implicazioni che tale Regolamento avrà sulla gestione dei dati da parte delle imprese e, di conseguenza, sui cambiamenti che andranno apportati a livello tecnologico e di policy aziendali:
“Maggio 2018: sembra una data lontana ma mancano meno di 18 mesi al momento in cui le aziende dovranno dimostrare di essere conformi a quanto richiesto dalla normativa GDPR. La privacy non è un argomento che si possa liquidare velocemente e mettere a punto tutte le politiche aziendali atte a proteggerla richiede impegno e tempo, soprattutto alla luce dei recenti dati raccolti dall’Osservatorio Security & Privacy del Politecnico di Milano che evidenziano come solo un’azienda italiana su cinque conosca nel dettaglio le implicazioni del General Data Protection Regulation. Sono pochissime inoltre – solo il 9% – quelle che hanno già strutturato un progetto per adeguarsi. Mentre molte, ma non abbastanza – il 46% – hanno in corso un’analisi dei requisiti richiesti[1]”.
Oggi, le Aziende se la sono sempre cavata con poche conseguenze nel caso di perdita di dati di clienti o dipendenti, ma il GDPR imporrà multe salate ai trasgressori, con importi particolarmente gravosi se a doverli corrispondere saranno le PMI che notoriamente possono contare su risorse più esigue rispetto alle grandi realtà. E sono proprio le aziende più piccole che correranno rischi maggiori quando il regolamento sarà effettivo: le autorità europee competenti saranno infatti propense a punire in modo esemplare le aziende che subiranno perdite di dati dopo l’entrata in vigore del GDPR, come monito per tutte le aziende che non si saranno adeguate alla normativa.
Prevediamo che nella seconda parte del 2017 si registrerà una sensibile crescita della richiesta di tecnologie di encryption, poiché sarà allora che le aziende inizieranno realmente a preoccuparsi delle implicazioni del GDPR.
Al fine di sensibilizzare le aziende su tale argomento, Sophos condivide alcuni semplici suggerimenti:
- Non trattate l’argomento privacy e il GDPR con condiscendenza, si tratta di questioni molto serie che come tali vanno affrontate;
- Prendetevi il tempo di capire approfonditamente ciò che implica l’entrata in vigore del GDPR per la vostra Azienda e valutate i vari passaggi che dovrete affrontare, rivolgendovi al vostro IT manager e coinvolgendo anche i consulenti legali se avete dei dubbi;
- Lavorate fianco a fianco con le Risorse Umane per essere certi che i vostri dipendenti capiscano appieno il processo messo in atto dall’azienda per proteggere i loro dati sensibili;
- Verificate che i vostri dipendenti siano consapevoli di ciò che vi aspettate da loro quando si parla di protezione dei dati custoditi in azienda. Spiegate loro che i clienti dipendono anche dal loro impegno nel proteggere i dati proprio come loro dipendono dai responsabili delle Risorse Umane per la tutela delle loro informazioni personali;
- Non date ai vostri dipendenti accesso a dati che non sono necessari allo svolgimento delle mansioni di loro competenza. Il nuovo GDPR prevede infatti che anche semplicemente leggere dati sensibili venga classificato come una violazione dei dati.
- Se raccogliete dei dati…proteggeteli! Trattate tutti i dati come se fossero dati personali e evitate di raccogliere e dunque custodire dati non necessari al vostro business. I cybercriminali non potranno rubarvi ciò che non avete.
- Usate il vostro rispetto per la privacy dei clienti a vostro vantaggio, fornendo informazioni precise su quali dati state raccogliendo, a quale scopo e per quanto tempo intendete conservarli. Non usate termini incomprensibili ma spiegatelo in modo semplice. Le persone avranno molta più fiducia in voi e nella vostra azienda se percepiranno la vostra onestà e trasparenza.
- Assicuratevi che le password utilizzate siano univoche e mai condivise. Ciò rende più difficile il furto dei dati e protegge da accessi impropri a dati che portano a violazioni della privacy;
- Utlizzate l’encryption per proteggere i dati da ladri e occhi indiscreti; tale tecnologia diventerà imprescindibile per adempiere ai requisiti del nuovo GDPR
[1] Fonte dall’Osservatorio Security & Privacy del Politecnico di Milano – convegno “Il Nuovo Regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza”,