Entro il 25 maggio 2018 verrà applicato in tutti gli stati membri dell'Unione il cosiddetto GDPR (General Data Protection Regulation), nuovo regolamento europeo sulla protezione dei dati. In vigore dal 24 maggio 2016, il GDPR è stato concepito per garantire la tutela dei dati personali al momento del trattamento, con lo scopo di scongiurare eventi come la perdita, la cancellazione, i trattamenti non autorizzati o illeciti e i danni accidentali in grado di compromettere la privacy.
Il regolamento, che sostituisce la Data Protection Directive 95/46/EC, norma in pratica le modalità per la protezione delle persone fisiche con riferimento ai dati personali trattati, in particolare per quanto riguarda la condivisione di tali informazioni.
Ciò si traduce in una maggiore responsabilizzazione dal punto di vista giuridico di chi è chiamato a trattare i dati. Per chiarire meglio questo concetto, è possibile ricordare come il GDPR preveda che in caso di incidenti il titolare del trattamento dei dati personali debba poter dimostrare in tribunale di aver assunto tutte le precauzioni necessarie in via preventiva.
Riassumendo: nel caso in cui voi siate i titolari del trattamento di dati altrui dovrete proteggerli osservando gli obblighi indicate dal regolamento, altrimenti, in caso di eventi come l'esposizione non autorizzata di tali informazioni (Data Breach), potreste incorrere nelle sanzioni previste. Queste ultime sono in alcuni casi particolarmente salate, ma su di esse e sulla loro entità si è fatta tanta confusione che dedicheremo loro un apposito post.
Veniamo agli obblighi. In che modo adeguarsi ai dettami del GDPR? Le direttive UE sono in questo caso numerose e in alcuni casi specifiche per determinate tipologie aziendali o organizzative. Possiamo però isolare alcune misure di carattere generale:
- Crittografare tutti i messaggi di posta elettronica che contengono informazioni confidenziali.
- Aggiornare periodicamente i dati e cancellarli solo dietro richiesta specifica.
- Dimostrare per quali scopi vengono trattati i dati e, di conseguenza, non utilizzarli per scopi differenti.
- Formare i collaboratori in modo che ciascun dipendente sia in grado di tutelare i dati per il compito che gli è stato assegnato.
- Crittografare le informazioni personali e confidenziali registrate su supporti per la memorizzazione. Quindi, ad esempio, nessuna informazione riservata deve essere presente in chiaro su una pen drive.
- Crittografare i dati personali e confidenziali contenuti nei computer portatili in modo che non siano accessibili in caso di furto.
- Crittografare i dati personali e confidenziali in fase si trasferimento nel Cloud.
- Monitorare e analizzare costantemente l'infrastruttura interna per verificare la presenza di eventuali vulnerabilità da correggere.
- Eseguire il backup dei dati.
Quest'ultimo punto è particolarmente importante perché, stando a quanto previsto, il solo backup su hard disk esterni non sarebbe sufficiente. Questi ultimi potrebbero essere trafugati e quindi dovrebbero essere sempre conservati in un luogo inaccessibile a mani altrui. Ne consegue che l'unica misura da ritenersi sicura (per chi ha redatto il regolamento) potrebbe essere il backup sul Cloud.
Le criticità del GDPR per quanto riguarda i titolari del trattamento sono diverse e non tutte immediatamente intuibili, le analizzeremo presto nel dettaglio.
/https://www.html.it/app/uploads/2023/09/DevToys.png)
/https://www.html.it/app/uploads/2009/01/server.png)
/https://www.html.it/app/uploads/2019/06/firefox-1.jpg)
/https://www.html.it/app/uploads/2018/01/power_battery-1.jpg)