Cinque azioni per prepararsi al Gdpr

A maggio 2018 la nuova normativa europea sulla privacy, la come General Data Protection Regulation (GDPR), entrerà pienamente in vigore. Molte aziende non sono ancora pronte per questa novità legislativa, forse sottovalutando – secondo alcuni esperti – i molti rischi che potrebbero correre non appena la GDPR entrerà in scena, a partire da multe per milioni di euro, con impatti finanziari che potrebbero, in alcuni casi, determinare anche la chiusura delle attività. 

IL LIBRO BIANCO DI RSA
Per chi volesse farsi trovare pronto, ci sono cinque step essenziali che le organizzazioni devono compiere per recepire e rispettare la normativa. I punti sono stati individuati e messi nero su bianco in un white paper realizzato dalla società di cyber security RSA.

1. Innanzitutto bisogna comprendere lo strumento, i suoi obiettivi e i destinatari della norma. La GDPR si riferisce a tutte le aziende che gestiscono dati di cittadini europei, anche se le operazioni vengono svolte fuori dal territorio Ue. Per capire come dare seguito alla normativa nelle attività di raccolta, conservazione e protezione dei dati, gli esperti suggeriscono di leggere i 99 articoli che compongono il testo, preferibilmente con il supporto di un legale o esperti di questioni regolatorie.

2. Il secondo aspetto riguarda l’oggetto di analisi: i dati. Ogni azienda è chiamata a comprendere quali dati da essa gestiti sono soggetti alla normativa e avere chiaro quali dati sono conservati in cloud e quali nelle strutture interne. Strumenti automatici possono aiutare a identificare il tipo e la quantità di dati presenti nelle infrastrutture IT, ma gran parte della sfida deriva dai processi di gestione dei dati, al di là della loro presenza nella ‘nuvola’ o in azienda.

3. Il terzo step è relativo allo stato di preparazione. Una volta individuato l’oggetto, è importante capire come i dati vengono protetti. Alcune aziende hanno già attive delle procedure di protezione, come ad esempio processi crittografici. Ci sono però anche altri strumenti da tenere in considerazione, come la valutazione degli impatti sulla privacy, le politiche di gestione formale dei dati e dei backup, le politiche e gli strumenti di conservazione delle informazioni. 

4. Il quarto punto prende in considerazione l’esistenza di terze parti. Aziende che operano in cloud pubblici o che hanno relazioni con altre entità che coinvolgono la condivisione dei dati devono avere piena coscienza dell’impegno di questi soggetti, valutare il livello di rischio che terze parti pongono e ottimizzare la gestione di queste relazioni.

5. L’ultimo punto riguarda la velocità d’azione. La GDPR richiede ai suoi destinatari di notificare entro 72 ore alle autorità competenti la presenza di un attacco cyber. Ciò significa che ogni azienda deve essere cosciente delle capacità di identificazione e valutazione di eventuali incidenti.

(Fonte Cyber Affairs)