La data in cui il GDPR, il nuovo regolamento europeo in materia di protezione dei dati personali, entrerà ufficialmente in vigore, è ormai alle porte.

Dopo tanti convegni, articoli e dibattiti, le aziende sono ora concretamente chiamate a dar conto di quanto avviato per adeguarsi alle misure previste. Bisognerà in sostanza provare che si è attivato un processo di cambiamento volto a mettere in atto misure tecniche e organizzative adeguate per proteggere i dati dei propri clienti e collaboratori.

Il nuovo regolamento coinvolge tutte le aziende che raccolgono dati personali – ossia tutte quelle informazioni che permettono di identificare direttamente o indirettamente una persona fisica (ad es. nome, indirizzo, numero di telefono, indirizzo e-mail, indirizzo IP ecc.) – che si tratti di una piccola o grande realtà.

Le aziende hanno l’obbligo di mettere in atto misure tecniche e organizzative adeguate per proteggere i dati dei propri clienti e collaboratori sin dalla fase della progettazione (by design) adottando anche tecniche di minimizzazione o di pseudonimizzazione per privare i dati di alcune componenti identificative.

Lo scopo del nuovo regolamento non consiste solo nell’armonizzazione di tutte le normative sulla protezione dei dati presenti in Europa, ma nel restituire ai cittadini il pieno controllo dei propri dati ribadendo alcuni principi già presenti nella vecchia normativa quali il diritto di rettifica, il diritto di cancellazione (e il diritto all’oblio) e il diritto di limitazione del trattamento.

Uno dei fondamentali diritti del cliente – sancito dall’art. 15 del GDPR – è il diritto di accesso in base al quale l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, se è in corso tale trattamento, l’accesso ai dati e a determinate informazioni. Mentre fra  i nuovi elementi presenti all’interno del regolamento, l’art. 20 è forse il più interessante: introduce il diritto alla portabilità dei dati in base al quale  l’interessato ha la prerogativa di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti ad un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.

Per le aziende il regolamento comporta quindi la necessità di ridefinire completamente l’approccio alla protezione dei dati e di rivedere in toto i processi possibilmente coinvolgendo l’intera organizzazione e avendo una chiara strategia di business. In questo modo il processo di conformità al GDPR può addirittura trasformarsi in un’opportunità e generare risultati ottimali.

Soluzioni pratiche per la gestione dei processi alla luce del nuovo regolamento esistono e indirizzano le scelte aziendali verso strumenti centralizzati per la gestione dell’identità dell’utente. Tali soluzioni da una parte, aiutano le aziende ad essere compliant al nuovo regolamento e a gestire in modo sicuro e strutturato le identità dei clienti e, dall’altra, forniscono agli utenti finali una customer experience ottimizzata e piacevole favorendone la fidelizzazione.

E’ la filosofia che ha guidato le scelte di SAP Gigya, leader nella categoria del Customer Identity and Access Management (CIAM) secondo Forrester Research e totalmente conforme alla normativa GDPR, di cui è disponibile un white paper esplicativo che contiene tutte le indicazioni.

Ed è la stessa filosofia alla base della strategia di Google nell’impostare le funzionalità di sicurezza e conformità e che trovate illustrate in questo rapporto.

Dal punto di vista delle misure di sicurezza che devono essere applicate, il GDPR stabilisce l’obbligo di assicurarsi che vengano adottate tutte le precauzioni necessarie per minimizzare il rischio di violazioni e fughe di dati. Le aziende devono quindi investire nella previsione e prevenzione delle minacce e dotarsi di soluzioni tecnologiche che, per mezzo di intelligenza artificiale e machine learning, permettano di rilevare gli incidenti e attuare le risposte in 24 ore.

In questo senso, anche aziende di piccole e medie dimensioni possono attivare strumenti dalle prestazioni avanzate ma a costi contenuti e commisurati al tipo di utilizzo che se ne fa: ne è un esempio Swascan, la prima piattaforma dedicata alla sicurezza informatica interamente in cloud, ideata per monitorare e testare l’affidabilità di siti web, delle web application, del proprio network e la qualità del codice sorgente dei propri applicativi. La soluzione sposa in pieno le indicazioni contenute nel GDPR fornendone anche il Self Assessment. Lo strumento permette infatti di misurare il livello di GDPR compliance e fornisce le indicazioni e le azioni correttive da compiere a livello sia organizzativo che tecnologico.

Insomma le soluzioni, concrete, non mancano. Bisogna solo procedere in fretta perché ormai il tempo per le riflessioni e per la teoria è scaduto.

Data Protection e GDPR

Attraverso la guida che puoi scaricare gratuitamente, ti presentiamo le strategie che Gigya mette in campo per arrivare al 25 maggio 2018 pronti ad accogliere le novità in tema di privacy e sicurezza al meglio.