“A pochi mesi dall’entrata in vigore del GDPR sussiste ancora una forte necessità da parte delle aziende di comprenderne la complessità in termini di sfide e opportunità che esso sottende. Al centro del dibattito sono anche i criteri di certificazione locali allineati al GDPR, la cui definizione nel nostro Paese è ancora oggetto di discussione. Il regolamento, infatti, affida al legislatore nazionale il compito di integrare il quadro normativo di riferimento, definendo i requisiti aggiuntivi a livello locale e le relative responsabilità”.

Così si legge in un recente documento a cura di Giovanni Napoli e Rashmi Knowles, rispettivamente Enterprise EMEA security Architect Team Lead e Field CTO EMEA di RSA Security. Se sul fronte legislativo e aziendale sono ancora molti i passi da compiere, dal punto di vista dei consumatori l’entrata in vigore del GDPR comporterà senza dubbio grandi benefici sia in termini di trasparenza, sia nel controllo su come vengono processati i dati, in modo da ridurre i furti di identità e prevenire le violazioni e i danni conseguenti.

I consumatori beneficeranno, inoltre, di un diritto alla privacy più esteso, continuando ad avere il diritto di richiedere una copia di tutti i dati personali che un’azienda detiene, ma anche di chiedere che i dati siano corretti o riservati o definitivamente eliminati.

In caso si subisca una violazione dei dati personali, l’azienda che li detiene dovrà, nella maggior parte dei casi, dare comunicazione all’autorità di controllo entro 72 ore, fornendo informazioni dettagliate tra cui il numero di record compromessi, le probabili conseguenze per gli individui e i rimedi adottati… e non sarà un’impresa da poco.

gdpr

Rispettare la compliance alla nuova normativa sarà, nel lungo periodo, uno tra gli indicatori di salute e di solidità del business di un’azienda. Essere in grado di dimostrare il proprio impegno rispetto alla trasparenza e l’attenzione alla salvaguardia dei dati dei clienti e della loro privacy non rappresenterà infatti solo azioni lodevoli e di dedizione, ma avrà conseguenze redditizie per l’azienda stessa.

Queste azioni, infatti, aiuteranno le aziende a incrementare la fedeltà dei clienti, a ridurre il rischio di perderne e a differenziarsi rispetto ai concorrenti. Al contrario, eventuali fallimenti dal punto di vista della tutela e protezione dei dati personali possono implicare un impatto negativo sulla reputazione, sul valore delle quotazioni in borsa e sui ricavi.

RSA Security consiglia infine quattro passi che le aziende possono intraprendere per contribuire a mitigare il rischio di non rispettare il GDPR.

  1. Condurre un approfondito risk assessment/gap analysis in ambito compliance GDPR, individuando quali sono i dati personali e/o sensibili più importanti, dove e come vengono memorizzati e quali sono le maggiori aree di rischio.
  2. Gestire i dati personali e sensibili durante tutto il ciclo di vita, dal momento in cui vengono raccolti (attraverso l’autorizzazione e il consenso della persona interessata), fino all’elaborazione e la conferma dell’avvenuta cancellazione.
  3. Avere la capacità di identificare dove e come è avvenuta una violazione, quali dati sono stati coinvolti e come è possibile mitigare ragionevolmente la minaccia in modo veloce.
  4. Avere un piano operativo che identifichi i principali stakeholder, definisca chiaramente i ruoli e le responsabilità del team di risposta dell’incidente ed elabori una strategia di comunicazione mettendo quanto accaduto in relazione al contesto aziendale. Solo in questo modo è possibile creare una soluzione olistica di supporto alla compliance GDPR che aiuti ad eliminare i gap e contestualizzare eventuali incidenti rispetto al rischio di business.