
Di General Data Protection Regulation (GDPR) già abbiamo parlato nell’articolo “GDPR ed applicazioni critiche” elencando, noiosamente, anche alcuni articoli specifici per chi, come noi, lavora nell’IT. Ovviamente non voglio obbligarvi a leggere un ulteriore articolo e riepilogo brevemente.
La GDPR sostituisce completamente la direttiva 95/46/EC del 1995 ormai obsoleta e molto lontana dai fenomeni degli ultimi anni come “data collection” e “big data”. Oltretutto dal lontano 1995 l’Europa è cresciuta e le regole del commercio mondiale e i rapporti internazionali sono drasticamente cambiati.
Servivano dunque delle regole generali, assolute e sopratutto vincolanti anche per soggetti esterni all’Unione, ma che gestiscono dati di organizzazione e cittadini “Europei”. Cosi fu GDPR: un regolamento da leggere per professionisti di security e privacy. Diamo uno sguardo ai punti salienti :
Tutte le aziende ed organizzazioni, basate in EU o extra EU che però trattano dati di cittadini ed organizzazioni Comunitari, devono applicare il regolamento a prescindere da dove risiedano o elaborino i dati.
E’ stato notevolmente ampliato il concetto di Dato Personale. Con la GDPR si intende per dato personale qualunque cosa possa identificare un cittadino EU, anche un indirizzo IP o un cookie ID’s.
Obbligo di notificare i “Data Breach” all’autorità entro le 72 ore dalla DETECTION. Per i data breach più gravi anche l’obbligo di notifica diretta agli utenti. Uno degli aspetti più importanti e complessi da implementare vista la poca preparazione delle aziende nella “DETECTION, RESPOND ed INCIDENT HANDLING” (fortunatamente su queste tematiche potete trovare in noi ottimi partner).
Obbligo di designare un “DATA PROTECTION OFFICER (DPO)”.
Sarà stabilito un’unica autorità europea per regolare la tematica in netto contrasto con i garanti privacy locali.
Rapporti fra GDPR ed APPLICATION SECURITY
Gli articoli 25, 32, 33, 35 e 35 contengono molti dettagli su come un’organizzazione deve gestire la sicurezza dei dati nelle applicazioni e su cosa fare in caso di data breach (che nel 85 % dei casi occorrono proprio sul layer applicativo). Gli articoli si articolano sui concetti di prevenzione, valutazione e monitoraggio.
Key Issue – Top 5
Al fine di individuare i punti di debolezza nella conservazione o lavorazione dei dati la GDPR impone alle organizzazioni di effettuare assessment periodici di sistemi e processi per valutare la gestione dati ed eventualmente migliorarla.
Security by design e by default ovvero considerare la sicurezza dei dati (e dunque la privacy) in ogni momento del ciclo di vita e, sopratutto, sin dalle prime fasi di pianificazione del trattamento.
Le Organizzazioni dovranno garantire un appropriato livello di sicurezza rispetto al rischio informativo (Risk Analysis obbligatoria)
Crittografia e Pseudonimizzazione dei dati personali
Data Recovery
Assicurare la confidenzialità, integrità e disponibilità dei dati
Definire un processo periodico di Security Test
Raccomandazione di creare un repository centralizzato di dati ed applicazioni per avere un controllo puntuale sui dati dei clienti.
Cosa succede in caso di non conformità ?
Con la GDPR la sicurezza delle informazioni acquisisce un’importanza strategica ed è un requisito assoluto. L’approccio, sia delle grandi che delle piccole organizzazioni, dovrà essere sostanzialmente e formalmente diverso rispetto al precedente. La non compliance infatti, oltre ad essere effettivamente uno “svantaggio competitivo” è, con le nuove sanzioni, un vero e proprio rischio. La non compliance infatti può costare sino a 20 milioni di Euro o il 4% del fatturato globale se si tratta di multinazionali.
Rispettare invece la normativa, dall’altro canto, è un vero e proprio vantaggio competitivo certificabile tramite “certificato di conformità PILR” che dimostra ai clienti l’adozione di elevati standard di sicurezza.
CHE DIRE…E’ IL MOMENTO GIUSTO PER TRASFORMARE LA SECURITY IN QUELLO CHE REALMENTE E’ : UN OTTIMO INVESTIMENTO !