GDPR: General Data Protection Regulation
Il GDPR è il nuovo regolamento sul trattamento dei dati che si pone come obiettivo quello di restituire ai cittadini europei il pieno controllo sui propri dati personali, per questo motivo tutte le aziende sono state chiamate ad uniformarsi e ad adeguarsi per dimostrare di operare secondo quando dice il nuovo regolamento; tale obbligo è imposto anche a chi ha sede legale al di fuori della comunità europea, ma, nella loro attività, gestiscono anche dati personali di chi risiede in UE.
Per essere conformi alle regole imposte dal GDPR l'azienda deve nominare un responsabile della protezione dei dati (RPD) indicato nel regolamento come Data protection Officer (DPO), una persona adeguatamente formata in grado di svolgere il proprio compito nei migliore dei modi e di fornire ai diretti interessati le informazioni necessarie. L'azienda deve ottenere i dati personali attraverso un consenso libero, specifico e informato, proprio per tali motivi, il GDPR fornisce linee guida indicando quali tipologie di informazioni minime è necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento. Le categorie sono sei: Identità del titolare, scopo delle operazioni di trattamento per le quali è richiesto il consenso; tipo di dati raccolti e trattati; esistenza del diritto di revoca del consenso; uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione); nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate. Bisogna poi procedere alla tutela dei dati tramite la crittografia che li rende non fruibili a soggetti non autorizzati. Il GDPR introduce il concetto di accountability per tutte le fasi del trattamento e questo significa adottare soluzioni che garantiscono la protezione dei dati, il controllo, la verifica e l'analisi delle procedure. Per le aziende con oltre 250 dipendenti vi è, inoltre, l'obbligo di compilare un registro delle attività con dettagli sulla politica aziendale adottata per la privacy. In caso di fuga di dati è necessario avvisare l'autorità competente entro 72 ore. Infine, è importante affidarsi a consulenti o partner IT certificati per stilare un piano d'azione e per fare ogni azione nel modo corretto. Prima di tutto si devono sostituire le soluzioni di archiviazione locale dei dati con sistemi che centralizzano la gestione delle autorizzazioni e l'accesso dei dati, quindi optare per sistemi di storage e backup tra cui una delle soluzioni migliori sono i sitemi cloud. Ci si può affidare anche a fornitori di servizi cloud che certificano la localizzazione all'interno dell'Unione Europea perché ci assicurano che tutto è svolto in base al regolamento; stesso discorso vale per il Trust Service Provider che si occupano di certificare l'identità digitale tramite strumenti come la firma elettronica. Il CISPE (Cloud Infrastrutture Services Provider in Europe) ha raggruppato provider che rispettano le regole tra cui ARUBA che è italiano e che tramite l'adozione di un codice di condotta garantisce ai propri clienti che le informazioni vengono salvate e trattate esclusivamente all'interno dei territori UE/SEE, senza mai essere cedute a soggetti terzi.
Commenti (0)