È necessario che le aziende rivedano fin da subito i propri processi interni, ponendo la privacy degli utenti come elemento primario a cui garantire priorità e precedenza. È altresì necessario che le aziende potenzino la comunicazione aziendale interna attraverso programmi di formazione specifica affinché chiunque si trovi in una posizione che implica l'accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria professione.
Il concetto di "Privacy by Design", un punto fondamentale su cui si concentra il GDPR, stabilisce che le misure di protezione dei dati debbano essere pianificate con le relative applicazioni informatiche di supporto a partire dalla progettazione dei processi aziendali. Questo implica che vengano processati solo i dati veramente indispensabili allo svolgimento dei propri obblighi professionali e che venga limitato l'accesso alle informazioni solo a coloro che devono svolgere l'elaborazione.
Un altro punto importante della normativa riguarda la "Breach Notification": le notifiche di violazione dei dati sono obbligatorie laddove la violazione può mettere a rischio i diritti e le libertà degli individui. La notifica deve essere effettuata entro 72 ore dal momento in cui ci si è resi conto della violazione e i clienti sono tenuti ad essere informati "senza ritardi ingiustificati".
Le modifiche che apporterà il GDPR non sono però solo legate al rapporto tra le aziende e gli utenti, ma riguardano anche la struttura interna dell'azienda stessa: la nuova normativa darà maggior risalto al team IT e ai CIO aziendali, rendendo più importanti le loro mansioni, ciononostante molti manager considerano ancora il GDPR come uno spreco di denaro e di tempo, non comprendendo l'importanza che riveste al giorno d'oggi il tema della protezione dei dati.
Con il GDPR viene istituita all'interno dell'azienda la figura del Data Protection Officer (DPO) con il compito di vigilare sui processi interni alla struttura e di fungere da consulente: tuttora i controllers (i controllori delle attività di monitoraggio ed elaborazione dati) sono tenuti a notificare le loro attività a DPA (Data Protection Advisor) locali che, ad esempio all'interno di multinazionali, possono rivelarsi un vero e proprio incubo burocratico, poiché ogni stato membro ha requisiti di notifica differenti. Con l'introduzione della figura del DPO, nominato sulla base di qualità professionali, esperto in materia di diritto e di pratiche di protezione dei dati e dotato delle risorse idonee, verrà semplificato il controllo dei processi interni di gestioni dei dati.
La nuova normativa pone particolare attenzione, oltre a quanto già detto, anche alle richieste di consenso che vengono fatte ai soggetti: il GDPR vuole che le richieste vengano sottoposte all'utente in maniera "intellegibile e facilmente accessibile", di modo che sia subito chiaro qual è lo scopo dell'elaborazione dei dati. Le aziende dovranno inoltre garantire agli utenti il diritto alla cancellazione dei dati personali "Right be Forgotten", la possibilità di chiedere informazioni riguardo al trattamento degli stessi e ottenere anche una copia gratuita in formato elettronico a disposizione del soggetto.
II nuovo regolamento sarà causa di severe sanzione per le aziende che non lo rispetteranno, con multe fino al 4% del fatturato globale annuo o a 20 milioni di euro, a seconda di quale sia la cifra maggiore tra le due. Ma le conseguenze non saranno solo economiche: il mancato rispetto delle nuove norme avrà anche ripercussioni sulla reputazione e sull'immagine della compagnia, che non verrà considerata come attenta alla privacy degli utenti e ai loro dati sensibili.
Il GDPR ha fatto luce sulle tematiche della Data Protection, un tema che, anche in virtù degli ultimi attacchi informatici, richiede sempre più attenzione. È noto infatti che le minacce contro la sicurezza IT e la protezione dei dati sono sempre in continuo aumento, con una tendenza che non si appresta a diminuire e che, anche per la fine del 2017, si prevede in crescita. Basti pensare al recente attacco del ransomware WannaCry che ha colpito più di 150 Paesi tra Europa e Asia causando gravi danni in tutto il mondo. Un attacco così grave fa capire le capacità degli hacker di oggi, sempre alla costante ricerca di falle e inadeguatezze nei sistemi IT, che devono essere protetti anche con l'aiuto di specialisti leader del settore.
Per questo è importante dotarsi di soluzioni complete, facili da implementare e da gestire, che proteggano i dati e che monitorino il traffico di rete. È necessario difendersi contro gli attacchi avanzati così come contro gli attacchi più comuni, come SQL injection e XSS, una delle possibili cause di Data Loss. Sfruttando soluzioni di protezione efficaci le aziende possono proteggersi completamente, garantendo così anche ai propri utenti che i loro dati sono sempre al sicuro e che non c'è rischio che vadano persi.
Se l'articolo ti è piaciuto, condividilo con gli amici e colleghi