Il nuovo Regolamento Europeo per la Protezione dei Dati, GDPR, entrerà in vigore il prossimo 25 maggio, e sono ancora tante le aziende in Europa che non si sono ancora adeguate ai requisiti necessari per evitare le sanzioni imposte a chi non sarà capace di proteggere i dati dei propri clienti.
Una riflessione di Darron Gibbard, Chief Technical Security Officer EMEA di Qualys, specializzata in information security e cloud solutions, offre spunti e suggerimenti.
Si parte da un responsabile per la protezione dei dati
È chiaro a tutti che ogni azienda dovrà nominare un responsabile interno per la protezione dei dati personali, mentre non lo è altrettanto riconoscere chi potrà essere qualificato a ricoprire questo ruolo specifico. A livello generale, temo che i professionisti della sicurezza si stiano focalizzando troppo sugli aspetti conseguenti alla non conformità al GDPR e quindi alle possibili sanzioni, a discapito dell’attenzione richiesta dall’analisi degli step dettagliati e necessari alla compliance.
Per quanto riguarda le ambigue dichiarazioni contenute nello stesso Regolamento relative a quali siano i dati da tutelare, l’Articolo 3 [ambito territoriale] del GDPR chiarisce i dubbi di ogni azienda confusa: “questo Regolamento si applica al trattamento dei dati personali dei soggetti interessati presenti nell’UE”.
Cancellazione dei dati, notifica di violazione e portabilità delle informazioni
A proposito dell’opinione diffusa sul diritto alla cancellazione dei dati, sulla notifica di violazione e anche sulla portabilità delle informazioni, ogni stato membro UE può stabilire come applicare il GDPR. Le richieste del diritto alla cancellazione potranno essere gestite più velocemente con alcuni membri e più lentamente con altri.
La notifica della violazione può essere immediata o avvenire entro 72 ore. La portabilità dei dati può essere applicata a qualsiasi formato e gli accordi dovranno essere fatti tra controller, in base ai diversi casi. Questo è dovuto al modo in cui ogni membro ha applicato le norme.
Ogni paese ha pubblicato la propria versione del GDPR, per cui per le organizzazioni che usano i dati dei soggetti europei interessati è di vitale importanza capire come il GDPR operi in ogni stato membro e assicurare che ogni processo legato a queste tre attività sia documentato e compreso.
Raccomando sempre alle aziende di impiegare il minor tempo possibile e di renderlo uno standard per tutti i processi, invece di personalizzare gli approcci per ogni stato.
Quali difficoltà...
La difficoltà per le organizzazioni potrà sorgere sul funzionamento del requisito di notifica della violazione dei dati. Ogni stato dell’UE avrà le proprie regole e le aziende dovranno seguire il protocollo del paese dove risiedono e vengono elaborati i dati personali.
Per esempio, l’Olanda richiede la notifica immediata, il Regno Unito e l’Italia richiedono 72 ore, e ci saranno differenze tra i singoli stati. Quindi, se si è responsabile della gestione di un team operativo, si avrà bisogno di capire le regole di ogni stato membro e di garantire che le procedure operative siano definite chiaramente.
Consiglio vivamente che l’ufficio legale si occupi delle normative e gestisca le notifiche con le rispettivi autorità do controllo per la protezione dati.
Conto alla rovescia
Come dicevo all’inizio, il tempo rimasto a disposizione è decisamente poco per adoperarsi a trovare una soluzione ex novo conforme al GDPR. Rendere anonimi i dati, come anche la crittografia per proteggere la privacy dell’utente, sono approcci possibili seppur di difficile attuazione entro maggio e le organizzazioni dovrebbero esserne già coscienti.
Se i dati sono resi anonimi in modo appropriato, la loro elaborazione e archiviazione si collocheranno al di fuori dell’ambito del GDPR. Per questa ragione, per essere allineati in modo completo al punto 26 del Regolamento, tutti i dati resi anonimi dovranno essere privati di ogni informazione identificativa, rendendo così impossibile ottenere dettagli su un individuo, neanche tramite gli strumenti, i fornitori o le soluzioni utilizzati nel processo.
Vorrei concludere rasserenando le aziende con una buona notizia sulle sanzioni, che saranno proporzionate e non emesse per ogni violazione.
L’ammenda più elevata verrà attribuita alle aziende che avranno subito più violazioni, non avranno informato le rispettive autorità di controllo, avranno completamente ignorato il regolamento o avuto gravi mancanze.
Inoltre, saranno puniti anche coloro che metteranno a rischio la privacy dei soggetti interessati. Elizabeth Denham, dell’Autorità di Controllo del Regno Unito, ha usato un’ottima frase per rendere questo concetto molto chiaro: “ Dillo a tutti, dillo velocemente, dì la verità.”
Consiglio per i CISO
Infine, un consiglio per i CISO delle organizzazioni: ponete le basi giuste e focalizzatevi sulla prevenzione di possibili violazioni. Fate tutto ciò che potete per garantire che i rischi siano ridotti al minimo e che le semplici attività, come gli aggiornamenti, possano fare una notevole differenza nel proteggere l’azienda.
Non ignorate le patch che possono risolvere problemi di disponibilità delle applicazioni e aggiornatele il più velocemente possibile. Utilizzate i servizi di gestione della vulnerabilità e di threat intelligence per comprendere e limitare i vettori di attacco.
È importante che i team operativi abbiano familiarità con le procedure da attuare in caso di violazione, quindi eseguite dei test a intervalli regolari e assicuratevi che gli uffici legali siano coinvolti.