L’acronimo è difficile da ricordare, ma lo sarà sempre meno con il passare del tempo. GDPR sta per General Data Protection Regulation ed è la nuova normativa per la protezione dei dati personali (concetto che in pratica sostituisce ed estende quello più generico di privacy), che è diventato legge europea il 24 maggio 2016 e ha un impatto immediato in tutti gli stati membri dell’Unione. La deadline che le aziende hanno per mettersi in regola con la Gdpr è il 25 maggio 2018.

Con l’avvento del Regolamento sulla Protezione dei dati | Reg. (UE) 2016/679 le aziende dovranno affrontare il tema della “compliance” privacy avendo come mercato di riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano.

A ciò si aggiunga che i dati personali e le informazioni confidenziali sui dati aziendali sono un asset fondamentale per qualsiasi tipo di attività, soprattutto per lo sviluppo sempre più crescente del trattamento dati automatizzato.

A tal proposito la nuova legge obbliga Titolari e Responsabili del trattamento a rivedere ed aggiornare tutta la parte documentale presente in azienda, ad applicare misure di sicurezza adeguate, sia tecnologiche che organizzative, e a provarne la loro efficacia: “accountability”.

Il nuovo Regolamento UE, per esempio, copre un vuoto normativo sulla violazione dei dati (Data Breach), in particolare sulle attività che il Titolare del trattamento dei dati deve intraprendere. In caso di violazione di dati (definita dal Regolamento come una violazione di sicurezza, sia accidentale sia conseguente ad attività illecita, che comporta distruzione, perdita, modifica dei dati e rivelazione nonché accesso non autorizzati ai dati) il Titolare ha l’obbligo di provvedere, immediatamente o comunque entro 72 ore, a notificare la violazione all’Autorità garante competente ed agli interessati i cui dati sono stati violati, se ci sono rischi per i loro diritti e le loro libertà. In questo caso, per esempio, l’adozione di un processo strutturato di Incident Management (relativo al campo specifico degli eventi di sicurezza e non a valenza generale sui malfunzionamenti nei processi di erogazione dei servizi Ict) è centrale per mitigare il livello di rischio, affrontare in modo organico gli eventi di Data Breach e fornire una risposta adeguata.

Tra le novità più impattanti (nella Pa, nelle aziende con più di 250 dipendenti e in quelle che svolgono attività che prevedono il trattamento di dati sensibili) vi sono poi l’obbligatorietà della figura del Data Protection Officer (Dpo) e del Registro dei trattamenti dei dati personali che dovrà essere messo a disposizione dell’Autorità Garante e contenere tutta una serie di informazioni.

La normativa non prescrive specifiche tecnologie, ma attività e misure come il monitoraggio degli accessi ai dati (anche ai fini della notifica dei data breach alle autorità di controllo), la gestione della sicurezza dei dati lungo tutto il loro ciclo di vita (il che ci riporta alla agognata security by design), la cifratura (encryption) dei dati e la pseudonimizzazione (pseudonymization), tecnica che permette di non rendere riconoscibili i proprietari di determinati dati sensibili.

Negli ultimi anni ai tradizionali strumenti di Security information and event management (Siem) abbiamo aggiunto analytics che ci permettono di esaminare i comportamenti degli utenti, per capire in anticipo quando potrebbero avvenire delle violazioni, e soluzioni di predictive security, che consentono di intercettare gli attacchi prima che si verifichino”. Dal momento che la GDPR presta molta attenzione ai problemi della prevenzione degli accessi non autorizzati ai dati e alla protezione di questi ultimi nelle attività applicative e di trasferimento (data portability), particolare interesse hanno suscitato durante l’evento le soluzioni di Information Management & Governance, che consentono di aderire alla GDPR automatizzando i processi di analisi, classificazione e applicazione di regole di protezione sulle informazioni sensibili.