Regolamento generale sulla protezione dei dati DSGVO: Tre consigli per l’utilizzo del cloud nelle aziende

Tra poco meno di un anno, il 25 maggio 2018, entrerà in vigore il Regolamento generale europeo sulla protezione dei dati (GDPR). I privati avranno il diritto di ricevere informazioni complete sul trattamento dei loro …

Regolamento generale sulla protezione dei dati DSGVO: Tre consigli per l’utilizzo del cloud nelle aziende

Netzwerk
  1. Rivista
  2. »
  3. Articolo
  4. »
  5. Internet
  6. »
  7. Regolamento generale sulla protezione dei dati DSGVO: Tre consigli per l’utilizzo del cloud nelle aziende

Tra poco meno di un anno, il 25 maggio 2018, entrerà in vigore il Regolamento generale europeo sulla protezione dei dati (GDPR). I privati avranno il diritto di ricevere informazioni complete sul trattamento dei loro dati personali su richiesta delle aziende a cui hanno affidato i loro dati nel corso di un rapporto commerciale. Le aziende, a loro volta, saranno soggette al controllo degli organi di revisione statali, motivo per cui sono tenute a garantire non solo la sicurezza ma anche la trasparenza delle loro procedure di trattamento dei dati.

Le aziende hanno una responsabilità particolare quando si tratta di utilizzare applicazioni cloud. Sebbene il GDPR preveda una responsabilità condivisa tra utenti e fornitori di cloud, in ultima analisi sono le aziende che utilizzano il cloud a essere ritenute responsabili. In qualità di cosiddetti processori, essi assumono più o meno il ruolo di gatekeeper tra i loro clienti e i fornitori di cloud. Secondo il GDPR, è ora loro responsabilità garantire che tutti i dati raccolti vengano elaborati solo nel modo in cui i loro clienti e utenti hanno esplicitamente accettato in precedenza.

Si tratta di una grande sfida, considerando che non tutte le aziende hanno le risorse per adattarsi facilmente a questo ruolo. Per rendere sicuro il fronte del cloud nei 12 mesi rimanenti, le aziende dovrebbero quindi considerare i seguenti punti:

1. “ricerca” coordinata dei dati aziendali

Per rendere l’infrastruttura IT dell’azienda conforme al GDPR, l’IT di solito lavora a stretto contatto con i vari reparti e con la direzione per creare un repertorio delle procedure, ovvero una panoramica delle procedure di trattamento di tutti i tipi di dati raccolti – ad esempio, dati personali, dati sui contenuti o dati sul traffico. Per dati personali non si intendono solo le informazioni sulla persona, ma anche altri dati che rendono identificabile una persona fisica, come ad esempio l’indirizzo IP. Per le aziende che intendono passare al cloud o che lo hanno già fatto, ciò significa che devono innanzitutto stabilire che tipo di dati dei clienti finiscono nel cloud durante le operazioni quotidiane e, non da ultimo, come vengono protetti. Ad esempio, i dati sui contenuti potrebbero essere esternalizzati su applicazioni cloud per la posta elettronica, o i dati sul traffico potrebbero essere trasferiti attraverso alcuni strumenti di analisi dei siti web.

Cloud, Computing, Konzept
Cloud Computing

A seconda delle capacità e del carico di personale dell’azienda, non è certo un lavoro facile scoprire in che misura i dati migreranno o sono già migrati nel cloud. Ma qualcuno deve farlo, o in altre parole: qualcuno deve assumersi la responsabilità. È importante coinvolgere nel processo tutti i manager aziendali interessati. Ma per evitare la diffusione della responsabilità, questi sforzi devono essere coordinati. È troppo tardi per modificare nuovamente il repertorio delle procedure e tutti i processi correlati – ad esempio, l’ottenimento del consenso da parte dei clienti – alla vigilia del GDPR a causa di una nuova applicazione cloud. Pertanto, il responsabile della protezione dei dati dell’azienda, richiesto dal GDPR, dovrebbe essere nominato in una fase iniziale e, idealmente, dovrebbe essere incaricato del coordinamento dei processi rilevanti per il GDPR.

2. identificare il trattamento dei dati da parte dei fornitori di cloud

Una volta creato l’elenco delle procedure, si dovrebbe chiedere ai propri fornitori di cloud di consegnare il loro elenco delle procedure. Dal confronto è possibile determinare in che misura il tipo di trattamento e anche gli standard di sicurezza corrispondono a quelli dell’azienda o, nel caso opposto, in che misura vanno oltre e se è necessario ottenere un consenso esteso dai clienti per questo. In base ai risultati, la politica sulla privacy dell’azienda deve essere aggiornata.

Il GDPR prevede anche la certificazione dei fornitori di cloud. Il livello di protezione e sicurezza dei dati di un fornitore dovrebbe essere rappresentato in modo affidabile attraverso vari sigilli di approvazione. Tuttavia, non sono ancora stati stabiliti standard uniformi e la certificazione è volontaria. Si può ipotizzare che a lungo termine i sigilli di approvazione diventeranno un criterio competitivo per i cloud provider. Ma non è prevedibile che tutti i cloud provider lo implementino in tempo per l’entrata in vigore del DSGVO. Per essere al sicuro in tempo, le aziende non dovrebbero fare affidamento sul fatto che la semplice consultazione di un sigillo di approvazione risparmierà loro molta fatica. Piuttosto, dovrebbero controllare a fondo le procedure di trattamento dei dati dei loro fornitori di cloud e prestare attenzione anche alle funzioni di sicurezza utilizzate, come la prevenzione della fuga di dati (DLP). Data la minaccia di multe che le aziende possono incorrere se i fornitori di cloud scelti non esercitano una due diligence sufficiente, vale la pena di essere estremamente coscienziosi nel processo di revisione.

3. evitare l’IT ombra e formare i dipendenti al GDPR

Con i cambiamenti introdotti dal GDPR, le aziende devono prestare maggiore attenzione a quali dipendenti hanno accesso a quali tipi di dati e, soprattutto, da quali dispositivi. Si deve escludere il più possibile che i dipendenti, ad esempio, possano accedere a dati importanti dei clienti e dell’azienda da un dispositivo privato non protetto dopo il lavoro e salvarli a piacimento o modificarli con altre applicazioni cloud. Allo stesso modo, tutti i dipendenti devono essere consapevoli del fatto che, in caso di guasto di un servizio critico per l’azienda – ad esempio, un guasto al server di posta elettronica – non possono passare ad altri account di posta elettronica privati o ad altri servizi liberamente disponibili per completare la corrispondenza urgente con i loro clienti. In questi casi, è necessario affinare la sensibilità dei dipendenti per la sicurezza dei dati e stabilire delle regole di comportamento. Tali misure precauzionali richiedono talvolta il supporto del responsabile della protezione dei dati e della direzione. Anche le precauzioni tecniche, come la crittografia dei dati del cloud e la protezione di tutti i dispositivi mobili aziendali, possono contribuire a ridurre al minimo tali rischi. È inoltre utile sviluppare un concetto di diritti-ruoli per segmentare i diritti di accesso e limitare l’accesso degli utenti ai dati sensibili.

Tablet, Mobile Computing
Tablet, Mobile Computing

Il GDPR crea uno standard europeo per la protezione dei dati nell’era digitale. Come si svilupperà la giurisdizione per i fornitori di cloud e per le aziende che utilizzano il cloud resta da vedere nella pratica. Per il momento, l’introduzione di processi conformi al GDPR rappresenta una sfida importante per le aziende – per alcune di più, per altre di meno. Ma a lungo termine, offre anche alle aziende l’opportunità di differenziare le proprie politiche di trattamento dei dati dalla concorrenza e di ampliare la propria base di clienti. Per questo motivo, è bene essere coscienziosi sulla sicurezza dei dati dei clienti fin dall’inizio, sia all’interno dell’IT aziendale che nel cloud.

Eduard Meelhuysen, Vicepresidente vendite EMEA, Bitglass

Articoli correlati