Cloud e protezione dei dati, in Europa si cambia

Pubblicato il: 26/01/2016
Autore: R.B.

Il nuovo regolamento generale europeo sulla protezione dei dati personali (Gdpr) sta per entrare in vigore e impone nuove responsabilità alle aziende. E di conseguenza maggiori attenzioni richieste anche all’It.

Il nuovo regolamento generale europeo sulla protezione dei dati personali (Gdpr) sta per entrare in vigore. La normativa intende armonizzare il comportamento dei 28 paesi membri dell'Unione Europea. Il provvedimento si rivolge soprattutto alla protezione dei cittadini, ma prende in conto evoluzioni tecnologiche come i big data, i social media e il cloud.
L'attuale direttiva in vigore (95/46/CE) è stata trasposta in maniera molto diversa nei vari Stati membri, non è aggiornata dal punto di vista tecnologico e non tiene conto della crescita del volume di dati raccolti sugli individui, spesso senza il loro consenso. Le differenze presenti nelle varie legislazioni nazionali, inoltre, ha creato una certa confusione.
Con il nuovo Gdpr, la raccolta di dati personali da parte delle imprese e delle istituzioni, onsite e sul cloud, viene autorizzata solo in condizioni ristrette e per fini legittimi. Uno dei principi fondanti della normativa riguarda il concetto di responsabilità. Le aziende, infatti, devono comprovare il rispetto di quanto contenuto nel regolamento e di aver preso le necessarie misure di conformità. Pertanto, in caso di perdita, furto, modifica o utilizzo non autorizzato, le imprese vengono ritenute legalmente responsabili della protezione di questi dati non strutturati.
Proprio quest'ultimo aspetto è il primo da prendere in considerazione per ogni adeguamento. Oggi, infatti, la maggior parte dei dati non è conservata in modo da soddisfare le esigenze normative e diventano regolarmente oggetto di aggiornamenti, correzioni e audit all'interno del loro ciclo di gestione.I dati vengono poi utilizzati spesso all'interno di soluzioni collaborative, come Microsoft SharePoint. Essi vengono memorizzati su dispositivi mobili e condivisi attraverso applicazioni o siti di cloud storage poco controllati dalle imprese. Oltretutto, l'utilizzo di servizi non approvati presenta seri rischi sul piano giuridico che può avere impatto sulla continuità operativa e la reputazione delle società. La normativa europea, poi, obbliga a segnalare qualunque fuga di dati privati, con la minaccia di multe pari al 5% del giro d'affari annuo per chi cerca di sottrarsi. 

Protezione su tutto il ciclo di vita dei servizi

Oltre alla compliance in materia di protezione dei dati personali, le aziende devono recepire anche il cosiddetto diritto all'oblio e i nuovi principi che si estendono fino alla progettazione di nuovi servizi. In termini pratici, le strutture It devono integrare la protezione dei dati e della vita privata su tutto il ciclo di vita di sistemi e processi. I parametri più restrittivi devono essere automaticamente applicati nel momento in cui il cliente acquista un nuovo prodotto o servizio.
Le imprese che devono prepararsi a questi adeguamenti dovrebbero tener conto di alcune regole e attività da perseguire fin d'ora. È opportuno partire dall'identificazione di utenti o servizi che coinvolgono il trattamento di dati personali e fare un inventario di tutte le applicazioni cloud utilizzate da dipendenti e collaboratori all'interno o all'esterno dell'impresa. Tutto ciò che non può essere gestito dovrebbe almeno temporaneamente, essere precluso e le informazioni personali vanno protette sia in fase di elaborazione che di archiviazione, soprattutto se collegate all'utilizzo di servizi cloud.

Cosa pensi di questa notizia?

Area Social

Vota