Bisogna ammettere che sono ancora da fare e in molti casi, diciamolo, nemmeno iniziate le tante attività richieste alle aziende (pubbliche e private) dall’entrata in vigore del regolamento europeo 679/2016 (GDPR), prevista il 25 maggio.
Ma perché un’azienda dovrebbe adeguarsi? Spesso si citano le sanzioni previste dal Gdpr, come elemento motivante, ma i motivi per cui bisognerebbe farlo sono numerose. Proviamo a riassumerle qui.
Processi interni più sicuri e monitorati
Identificare, memorizzare, classificare, eventualmente cancellare i dati sono tra le attività che quasi tutte le aziende si trovano a svolgere quotidianamente ed è per questo che l’applicazione del GDPR dovrebbe quindi apparire come “vantaggiosa” per migliorare, standardizzare e securizzare i propri processi interni ma soprattutto come beneficio per i clienti/utenti. Il GDPR porta dei significativi vantaggi anche nel classificare dati spesso dimenticati e non custoditi secondo dei criteri di sicurezza aggiornati.
Se ne verrà sfruttata l’occasione dunque, si potrà procedere ad una riorganizzazione e razionalizzazione dei dati aziendali al fine di evitare i rischi associati a questo regolamento, ma anche e soprattutto di fare ordine nei dati per realizzare significative economie di scala. Penso alla digitalizzazione di informazioni non correttamente custodite su carta, su vecchi supporti magnatici ancora leggibili ma a forte rischio e comunque su sistemi aziendali non più utilizzati dove magari sono rimaste memorizzate delle informazioni personali.
Anche in questi casi, l’utilizzo dello spazio di archiviazione all’interno dei data center in cloud ottimizza gli investimenti infrastrutturali, limitando la duplicazione dei dati in eccesso e rafforzando il livello di sicurezza, potendo contare su una sicurezza infrastrutturale garantita da specifiche certificazioni.
Attacchi informatici: rischi per le persone e le società quando si ha una “violazione”
Con l’uso quotidiano di piattaforme on line come social network, gestionali, ERP, CRM, e-commerce, Internet banking e l’emergere di oggetti connessi (IoT), i nostri dati sono ovunque sul web.
I dati personali sono definiti dall’articolo 4 del GDPR:
“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”
Con questa ampia, ma semplice definizione, il GDPR tocca di fatto, un gran numero di infrastrutture pubbliche e aziendali. L’obiettivo è chiaro: proteggere le persone dall’uso illecito dei propri dati e dai crimini informatici in genere. È evidente che per gli hacker, i servizi online sono un obiettivo primario essendo spesso esposti a delle vulnerabilità e falle di sicurezza. Utilizzando varie modalità infatti, possono recuperare elenchi di dati bancari, dati di accesso a servizi on line e persino informazioni soggette al segreto professionale o dati altamente sensibili come quelli posseduti dalle strutture sanitarie.
Proprio riferito ai dati sanitari, abbiamo un esempio piuttosto recente (maggio 2017) di attacchi massicci con il “tristemente” noto virus Wannacry. Gli hacker hanno richiesto il riscatto a moltissimi ospedali britannici per avere indietro i dati dei pazienti che avevano criptato e che dunque, non erano più nella loro disponibilità, mettendo a rischio la vita stessa dei pazienti oltre che la loro privacy.
Il massiccio attacco subito da Sony Computer Entertainment nel novembre 2014 è un altro buon esempio.
Più recentemente quanto avvenuto con il facebook gate, che non è riconducibile ad un attacco informatico come quello subito da Sony, bensì all’uso improprio e non autorizzato di informazioni. In questo caso le informazioni usate impropriamente, da soggetti che non ne avevano l’autorizzazione da parte dell’interessato, sono state utilizzate addirittura per influenzare l’ultima campagna elettorale delle presidenziali americane. Ci sono addirittura sospetti anche per quello che riguarda la recente campagna elettorale italiana. Ci sarebbero stati infatti “contatti” tra il CEO di Cambridge Analityca (società coinvolta nel facebook gate) e un partito politico italiano.
Da questi esempi risulta evidente come questo tipo di “danno” colpisca sia gli utenti dei servizi online coinvolti, che le aziende, ma anche addirittura gli stati dei quali possono venire messe a repentaglio le regole stesse della democrazia.
I ritardatari del GDPR
Nonostante questi indubbi vantaggi legati all’adozione del regolamento, pochissime aziende sembrano pronte e secondo alcuni studi svolti da società europee sarebbero il 54% quelle che non ha ancora implementato le misure necessarie per conformarsi al GDPR.
Non tutte le società si trovano nella stessa situazione; le banche ad esempio o le compagnie assicurative, sono già soggette a determinati standard e dunque sono più avanti nell’applicazione essendo i loro team già da tempo impegnati nell’applicazione del regolamento. Poi ci sono aziende che non sono state coinvolte in precedenza e che sono però consapevoli dei rischi e dei benefici e che stanno dunque correndo ai ripari. È sotto gli occhi di tutti la fortissima attenzione al tema.
Le società di consulenza, gli studi legali e le aziende stanno intensificando i loro interventi per formare ed accompagnare le imprese informandole sui passi da compiere.
I passi fondamentali per adeguarsi al GDPR
Proviamo a vedere concretamente però, quali siano i punti fondamentali sui quali porre l’attenzione per prepararsi al rispetto del regolamento.
Le aziende devono essere in grado di fare un controllo e razionalizzare le informazioni su:
- dati ospitati
- metodi di raccolta dei dati
- metodi di trasferimento dei dati
- attributi di sicurezza
- accessi e metodi di autenticazione.
Dopo aver completato questi controlli, è necessario definire il proprio standard in conformità a quanto definito dalla normativa e applicare le nuove regole di elaborazione dei dati tenendone traccia e potendone dimostrare sempre l’applicazione.
Nei sistemi IT la verifica dovrà aver luogo regolarmente. La parte più difficile è quella “gestionale” delle informazioni e vanno stabilite le regole per ogni caso riprendendo il controllo dei dati.
Ovviamente, non sono solo i sistemi informatici ad essere coinvolti in quanto, come detto, questa deve essere l’occasione per razionalizzare i molti dati che si trovano memorizzati anche su supporti tradizionali e alcune operazioni non corrette legate al trattamento dei dati stessi, che possono avvenire anche completamente al di fuori da ogni controllo “informatico”. È pertanto necessario adattare non solo l’organizzazione IT, ma tutto lo staff aziendale per ricondurlo a quanto previsto dal GDPR.
Ciò indubbiamente comporterà dei costi significativi ed il rischio è che per rimediare a questo, le aziende aumentino il costo dei loro servizi anche se è evidente, come questo porti anche ad un loro sostanziale miglioramento.
Tuttavia questo regolamento soddisfa l’esigenza di trasparenza e di fatto rassicura il mercato per il forte grado di organizzazione e standardizzazione dei dati che faciliteranno anche il regolare svolgimento delle operazioni riducendo al contempo i costi.
