Regolamento Ue su dati personali: occhio alle sanzioni

Mercato
Dati sicuri nel rispetto della nuova normativa europea

Il regolamento europeo sulla protezione dei dati entrerà in vigore a maggio. Un’analisi su alcune delle caratteristiche più particolari del provvedimento e alcune indicazioni di Varonis

Con l’entrata in vigore del nuovo regolamento generale sulla protezione dei dati, a maggio 2018, entra in vigore anche un messaggio che le aziende, rientranti in questo regolamento, dovranno assolutamente tenere a mente: la consapevolezza sui propri dati (dati sensibili conservati, chi ne ha accesso, chi dovrebbe accedervi). Oltre a questo, le aziende dovranno adeguarsi e stare attente a conformarsi perché rischiano salassi sanzionatori. Si pensi solo che le sanzioni massime sono articolate e per certe violazioni ammontano al 2% o, per mancanze più gravi, possono arrivare fino al 4% del fatturato globale dell’azienda stessa.

Per quanto riguarda le sanzioni, l’articolo 83 precisa che un’azienda può essere multata fino al 2% per non avere i registri in ordine (articolo 30), per non aver comunicato all’autorità di controllo e all’interessato una violazione (art. 33 e 34) oppure per non aver effettuato le valutazioni d’impatto (art. 35). Le sanzioni salgono al 4% del fatturato globale quando riguardano violazioni dei principi base relativi alla sicurezza dei dati (art. 5) e le condizioni per il consenso dell’interessato (art. 7). In particolare, si tratta della violazione dei principi essenziali della Privacy by Design contenuti nella legge. Cosa si intente per Privacy by Design? Secondo l’avvocato Nicola Fabiano, dalle pagine di Diritto24 de Il Sole 24 ore, spiega che si tratta di “un ulteriore tassello nella evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti. In sostanza la Privacy by Design rappresenta il futuro della privacy”.

Dati sicuri nel rispetto della nuova normativa europea
Dati sicuri nel rispetto della nuova normativa europea

Inoltre, dato che le regole del regolamento dell’Unione europea si applicano ai responsabili e agli incaricati del trattamento dei dati, cioè il cloud, i grandi provider cloud non sono esonerati dall’applicazione del regolamento generale sulla protezione dei dati. Sui negoziati, poi, sono emerse divergenze sulla possibilità che le aziende debbano nominare un responsabile della protezione dei dati incaricato della consulenza e della vigilanza in merito alla conformità del regolamento, oltre che a rappresentare l’azienda nei contatti con l’autorità di controllo. Giunto a definizione, con il regolamento europeo molte aziende avranno bisogno di un responsabile della protezione dei dati o DPO (art. 37). Qualora l’attività principale di un’azienda riguardi il monitoraggio regolare e sistematico delle persone interessate su larga scala, o trattamento su larga scala di speciali categorie di dati, come per esempio razza o origine etnica, opinioni politiche, religione, orientamenti sessuali, le stesse aziende sono tenute ad avere un DPO.privacy

Varonis è una società che fornisce soluzioni software per difendere le informazioni dalle minacce interne e dai cyber attacchi e fornisce alcuni strumenti utili anche per l’adeguamento a questo nuovo regolamento europeo, dato che da qui a maggio 2018 le aziende coinvolte devono iniziare ad adeguarsi. Per quanto riguarda il sistema di controllo dell’accesso, Varonis ha una soluzione chiamata DatAdvantage che monitora ogni tocco su un file utente e conserva l’informazione in formato consultabile. Il sistema di Varonis potrebbe anche raccomandare la revoca di autorizzazione ai dati per utenti che non hanno necessità di conoscere i dati. Inoltre, Varonis DataPrivilege è un’applicazione basata sul web che controlla monitora e gestisce le richieste di un utente per dati non strutturati.

Relativamente all’articolo 30, sui registri delle attività di trattamento, Varonis spiega che con gli strumenti che mettono a disposizione, le aziende possano fare le revisioni della sicurezza dei dati quando vogliono e generare report di accesso. L’articolo più contorto e oggetto di attenzione è l’articolo 32 (sicurezza del trattamento). Con DatAdvantage è possibile creare dei rapporti che identifichino e attribuiscano le priorità e pongano rimedio a un accesso eccessivo a dati sensibili ad alto rischio.

In particolare, Varonis aiuta a definire le politiche e i processi che stabiliscono chi può accedere e chi può garantire l’accesso a dati non strutturati, nonché rafforzare il flusso di lavoro e adottare le azioni desiderate. Tutto questo ha una duplice valenza sulla consistenza e sull’ampiezza della comunicazione della politica di accesso: riunisce le parti responsabili incluso proprietari di dati, controllori, utenti dei dati e It in base allo stesso set di informazioni; consente alle aziende di monitorare in continuo il quadro di accesso per fare modifiche e ottimizzare in vista di una costante esecuzione di accessi giustificati.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore