Obblighi GDPR in azienda: come garantire la protezione dei dati

di Redazione PMI.it

scritto il

Per imprese e professionisti alle prese con l’adeguamento alle nuove regole privacy, affidarsi a sistemi e servizi IT certificati può essere un ottimo punto di partenza in ottica di compliance.

Dallo scorso 25 maggio 2018, con l’entrata in vigore nella UE del Regolamento Generale sulla Protezione dei Dati (GDPR), migliaia di professionisti e imprese stanno vivendo una fase di profondo cambiamento, non senza incertezze e momenti di confusione.

Chiamati ad uno sforzo congiunto per uniformare le misure di protezione dei dati personali e garantirne una maggiore sicurezza informatica, devono fare i conti nel concreto con situazioni di business che a volte sembrano lontane anni luce dai contesti per i quali il GDPR (General Data Protection Regulation) è pensato.

Non solo: con l’entrata in vigore il 19 settembre del decreto italiano (Dlgsl 101/2018) di armonizzazione con le regole europee, per certi versi il contesto si è perfino complicato. Restano infatti molti dubbi in tema di sanzioni amministrative, visto che viene sì concessa una fase di avvio soft pari a otto mesi, ma non viene fornita alcuna indicazione sui parametri di valutazione delle violazioni su cui “soprassedere”.

Dunque, una benevolenza troppo nebulosa per rischiare. Ed otto mesi passano davvero in fretta. Anche perché, seppure parzialmente, una forma di adeguamento si rende necessaria quasi in ogni contesto.

Non a caso, tracciando il bilancio dei primi 4 mesi di applicazione, il Garante Privacy ha evidenziato una vera e propria escalation di segnalazioni e reclami (+ 50% rispetto all’anno precedente) e di comunicazioni di data breach (+500%), con la maggior parte delle violazioni ha riguardato il trattamento dati senza consenso.

Non si può dunque temporeggiare troppo, si rischiano sanzioni salate. Il problema è che spesso la normativa non sembra sufficientemente chiara per mettersi in regola.

Questo perché, più che regole, il GDPR offre una serie di linee guida che le aziende sono chiamate a tradurre in attività più o meno standard, rendendo omogenee le modalità di trattamento dei dati personali nella UE.

Questo processo comporta a volte una lunga serie di adempimenti e coinvolge diverse figure professionali, che a vario titolo e con diverse modalità devono garantire la privacy di clienti, fornitori e collaboratori. Ma le imprese italiane viaggiano a rilento.

Ad esempio, a comunicare all’autorità competente i riferimenti del DPO sono state finora circa 40mila singole organizzazioni. Un numero consistente – che riflette la crescente consapevolezza tra aziende pubbliche e private – ma ancora esiguo rispetto alla platea dei potenziali interessati.

Adempimenti per aziende e professionisti

Per imprese e professionisti chiamati ad applicare in tutte le fasi del trattamento il principio di accountability (responsabilizzazione), adeguarsi al GDPR significa ottemperare a numerosi obblighi attraverso l’attuazione di precise attività.

Attenzione però: le disposizioni generali devono essere lette come tali e poi applicate facendo riferimento alle singole realtà professionali. Siti web e portali e-commerce, artigiani, studi professionali, negozi.  Ciascun soggetto è chiamato a verificare la propria conformità sulla base del tipo di attività svolta e del reale trattamento dei dati.

Alcuni adempimenti sono infatti non necessari, mentre altri sono solo “consigliati” per imprese con un numero di dipendenti inferiore a 250.

In generale, ogni realtà che tratta dati sensibili e su larga scala deve:

  • nominare un Responsabile della Protezione dei Dati (RPD), figura indicata come Data Protection Officer (DPO), formato ad hoc con l’incarico di agevolare l’attuazione del regolamento da parte del titolare del trattamento dei dati personali, che deve ottenere il consenso libero e informato degli utenti interessati;
  • tutelare la riservatezza dei dati mediante impiego di crittografia, impedendone la fruizione da parte di soggetti non autorizzati;
  • rispettare le procedure standard di protezione (cifratura dei dati e pseudonimizzazione) e verificare le misure tecniche adottate per garantire la piena integrità dei sistemi e dei servizi di trattamento;
  • ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico, dando avviso immediato al Garante Privacy in caso di fuga di dati o attacco esterno;
  • redigere un registro delle attività con i dettagli sulle policy aziendali e sulle procedure adottate (obbligatorio per le aziende con più di 250 dipendenti e per tutte le imprese che effettuano trattamenti ritenuti rischiosi o relativi a precise categorie di dati sensibili). A tal proposito, il Garante ha messo a disposizione delle PMI due schemi di registro pronti alla compilazione.

Infrastruttura IT: come adeguarsi al GDPR

Alla luce dei nuovi obblighi, ma anche delle possibili sanzioni in caso di mancata conformità (fino al 4% del fatturato), diventa indispensabile implementare sistemi affidabili, affidandosi a partner certificati che garantiscano la maggiore compliance possibile al nuovo regolamento.

Un’esigenza che diventa ancor più rilevante tenendo conto delle incertezze del periodo transitorio, in cui la preannunciata sospensione delle sanzioni si è tradotta in una mera “flessibilità” a discrezione del Garante.

Scegliere un fornitore di servizi cloud qualificato è dunque una precisa scelta strategica, che si pone l’obiettivo di soddisfare i requisiti della normativa grazie a soluzioni di archiviazione e backup dei dati che rispettino i più elevati standard a livello europeo.

Aruba, attraverso il marchio Aruba Cloud, mette a disposizione delle aziende di qualsiasi dimensione un’offerta di servizi che di fatto semplifica la conformità al GDPR, grazie anche a soluzioni in linea con quanto previsto dal Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe), precursore del nuovo Regolamento e promotore di un pieno controllo dei dati da parte dei clienti, con l’impegno a non cedere o vendere le stesse informazioni a terzi.

Per raggiungere questi obiettivi, Aruba conta su una solida rete europea di Data Center in Italia e Repubblica Ceca, completata da quelli partner in Francia, Regno Unito, Germania e Polonia. In termini di resilienza, i Data Center Aruba sono classificati Rating 4 secondo lo standard ANSI/TIA 942-A: significa che ogni struttura garantisce la continuità dei servizi erogati ai massimi livelli possibili. In questo modo si scongiura l’interruzione dei servizi e si garantisce la protezione dei dati archiviati. Non solo: i servizi cloud di Aruba possono essere attivati solo entro i confini UE e sono gli stessi clienti a decidere in autonomia l’infrastruttura per la conservazione dei propri dati.

Servizi cloud per la sicurezza dei dati

Garantire la sicurezza del trattamento dei dati degli utenti è dunque non soltanto un’ovvia priorità di business ma anche un preciso dettato normativo. Per supportare imprese e professionisti nell’implementazione di misure tecniche e organizzative di adeguamento al GDPR Aruba propone una rosa di soluzioni.

  • Cloud Backup permette di creare backup automatizzati e garantire specifiche misure di sicurezza del trattamento previste dalla normativa: la trasmissione cifrata, la protezione del dato, la conformità al codice CISPE;
  • Disaster Recovery as a Service (DRaaS) consente di attivare repliche dei dati all’interno dell’azienda e nel Private Cloud di Aruba in ambiente VMware: in questo modo vengono pienamente soddisfatti i requisiti di resilienza, ripristino, Live test;
  • Business Continuity rappresenta la soluzione pensata da Aruba per favorire l’accesso a un network europeo di Data Center sicuri e qualificati, in grado di gestire processi di Disaster Recovery e di continuità operativa per fronteggiare ogni tipo di eventualità. Tutti i Data Center sono caratterizzati da collegamenti ridondati in fibra ottica e interconnessioni multiple, garantendo procedure preventive personalizzate preparate ad hoc e interventi di ripristino progettati a seconda delle esigenze infrastrutturali del cliente.

Per individuare i servizi Cloud e Data Center ideali per supportare la conformità al GDPR è possibile contattare lo staff di Aruba.