MILANO – L’acronimo è difficile da ricordare, ma lo sarà sempre meno con il passare del tempo. Gdpr sta per General Data Protection Regulation ed è la nuova normativa per la protezione dei dati personali (concetto che in pratica sostituisce ed estende quello più generico di privacy), che è diventato legge europea il 24 maggio scorso e ha un impatto immediato in tutti gli stati membri dell’Unione. La deadline che le aziende hanno per mettersi in regola con la Gdpr è il 25 maggio 2018.
Della nuova normativa, e delle soluzioni tecnologiche abilitanti la compliance, se ne è parlato alla fine di novembre a Milano durante un evento rivolto a un numero ristretto di Cio e responsabili della sicurezza organizzato dal NetworkDigital4 in collaborazione con Hpe.
L’inquadramento del tema è stato fornito da Maria Cristina Daga, avvocato del Foro di Milano e Legal Consultant di P4I (società di advisory e coaching del gruppo Digital360). Nel corso del suo intervento, la giurista ha evidenziato le novità del nuovo regolamento che maggiormente impattano sulle attività delle imprese.
Un momento di confronto durante l’evento
Il nuovo Regolamento UE, per esempio, copre un vuoto normativo sulla violazione dei dati (Data Breach), in particolare sulle attività che il Titolare del trattamento dei dati deve intraprendere. In caso di violazione di dati (definita dal Regolamento come una violazione di sicurezza, sia accidentale sia conseguente ad attività illecita, che comporta distruzione, perdita, modifica dei dati e rivelazione nonché accesso non autorizzati ai dati) il Titolare ha l’obbligo di provvedere, immediatamente o comunque entro 72 ore, a notificare la violazione all’Autorità garante competente ed agli interessati i cui dati sono stati violati, se ci sono rischi per i loro diritti e le loro libertà. In questo caso, per esempio, l’adozione di un processo strutturato di Incident Management (relativo al campo specifico degli eventi di sicurezza e non a valenza generale sui malfunzionamenti nei processi di erogazione dei servizi Ict) è centrale per mitigare il livello di rischio, affrontare in modo organico gli eventi di Data Breach e fornire una risposta adeguata.
Tra le novità più impattanti (nella Pa, nelle aziende con più di 250 dipendenti e in quelle che svolgono attività che prevedono il trattamento di dati sensibili) vi sono poi l’obbligatorietà della figura del Data Protection Officer (Dpo) e del Registro dei trattamenti dei dati personali che dovrà essere messo a disposizione dell’Autorità Garante e contenere tutta una serie di informazioni.
Cosa prescrive la nuova normativa europea
Pierpaolo Alì, Sales Director South Europe, Hpe Security
La normativa non prescrive specifiche tecnologie, ma attività e misure come il monitoraggio degli accessi ai dati (anche ai fini della notifica dei data breach alle autorità di controllo), la gestione della sicurezza dei dati lungo tutto il loro ciclo di vita (il che ci riporta alla agognata security by design), la cifratura (encryption) dei dati e la pseudonimizzazione (pseudonymization), tecnica che permette di non rendere riconoscibili i proprietari di determinati dati sensibili. Hpe si presenta in questo nuovo scenario con un’offerta ampia di soluzioni di aiutano le aziende ad affrontare queste sfide.
“Negli ultimi anni – ha esemplificato Pierpaolo Alì, Sales Director South Europe, Hpe Security – ai tradizionali strumenti di Security information and event management (Siem) abbiamo aggiunto analytics che ci permettono di esaminare i comportamenti degli utenti, per capire in anticipo quando potrebbero avvenire delle violazioni, e soluzioni di predictive security, che consentono di intercettare gli attacchi prima che si verifichino”. Dal momento che la Gdpr presta molta attenzione ai problemi della prevenzione degli accessi non autorizzati ai dati e alla protezione di questi ultimi nelle attività applicative e di trasferimento (data portability), particolare interesse hanno suscitato durante l’evento le soluzioni di Information Management & Governance, che consentono di aderire alla Gdpr automatizzando i processi di analisi, classificazione e applicazione di regole di protezione sulle informazioni sensibili.
