23/06/2016

Il 75% delle applicazioni cloud non sono pronte per il GDPR


Condividi:

Uno studio di Netskope sostiene che più del 75% delle applicazioni cloud non ha le funzionalità per essere in linea con la nuova General Data Protection Regulation (GDPR).

In particolare le aree di mancato rispetto delle norme sono quelle della cancellazione dei dati personali nei tempi previsti, ed i requisiti di portabilità dei dati, ovvero il trasferimento dei dati ad altro ente di controllo.

Lo studio di Netkope ha preso in esame 22000 applicazioni in uso assegnando una valutazione da 1 a 100 in termini di conformità con il GDPR:

  • meno del 28% delle app cloud non sono pronte
  • metà (48%) hanno ottenuto la valutazione di essere in qualche modo pronte
  • solo il 25% sono state valutate positivamemnte come conformi

Il risultato dello studio evidenzia una certa criticità per le aziende, in una fase in cui l'adozione del cloud e del mobile sta diventando un'esigenza sempre più pressante. La strada verso le architetture cloud comporta sfide sempre maggiori in termini di complessità e sicurezza delle informazioni, e la confirmità al GDPR rappresenta uno dei capitoli principali.

Le aziende hanno meno di due anni per fare in modo che le app utilizzate risultino conformi alla nuova regolamentazione altrimenti il rischio è di pagare multe salate.

Il GDPR è attivo dal 24 Maggio 2016 ma entrerà in vigore il 25 Maggio 2018, con lo scopo di dare più controllo sui dati personali agli individui nella UE, e semplificare e standardizzare la regolamentazione della privacy a livello europeo.

Ecco un sunto della novità introdotte dal GDPR (versione infografica se avete meno di un minuto!):

Le sanzioni in caso di data breach

Il regolamento impone sanzioni pesanti alle organizzazioni che abbiano subito un Data Breach:  fino al 4% del fatturato globale annuo o massimo 20 milioni di euro. Le multe entreranno in vigore entro due anni dalla ratifica del GDPR.

Se l'azienda non ha sede in Europa, sarà comunque necessario rispettare il regolamento

Anche le organizzazioni non comunitarie che operino nella UE su dati personali di cittadini UE e che forniscono prodotti o servizi ai clienti UE possono dover affrontare il lungo braccio della legge se viene segnalato un incidente che li riguarda.

La definizione di dati personali è più ampia, portando un maggior numero di dati nel perimetro regolamentato

Aumentano le categorie di dati che vengono considerate critiche per l'identificazione di un individuo: si parla di identità genetica, psichica, economica, culturale o sociale. Le aziende dovranno prendere misure per ridurre la quantità di informazioni personali che immagazzinano e garantire di non memorizzare le informazioni più a lungo del necessario.

Il consenso dei genitori per i dati dei bambini

Il consenso dei genitori sarà richiesto per il trattamento dei dati personali dei bambini sotto i 16 anni. I singoli stati membri della UE potranno decidere di abbassare la soglia a 13 anni.

Le modifiche alle regole per ottenere un valido consenso

Il documento che illustra il conferimento del consenso al trattamento dei dati deve essere semplificato e trasparente; non vale il silenzio assenso: il consenso deve essere fornito in forma chiara e affermativa.

Per alcune società la nomina di un responsabile della protezione dei dati (DPO) sarà obbligatoria 

L'articolo 35 del GDPR afferma che tutti gli enti pubblici devono nominare un responsabile della protezione dei dati. Un DPO sarà richiesto inoltre laddove le attività principali del "controller" o del "processore" di dati prevedano "un monitoraggio regolare e sistematico su larga scala delle persone interessate", o qualora la società svolga attività di elaborazione su larga scala di "categorie particolari di dati personali". Le imprese il cui core business non sia l'elaborazione dei dati sono esenti da tale obbligo.

Il GDPR non specifica le credenziali necessarie per i responsabili della protezione dei dati, ma richiede che abbiano una "conoscenza approfondita della normativa sulla protezione dei dati e delle pratiche connesse."

L'obbligatorietà dell'introduzione di valutazioni di impatto del rischio sulla privacy

Prima di intraprendere attività di elaborazione dei dati ad elevata sensibilità deve essere adottato un approccio basato sull'analisi del rischio connesso. I responsabili del trattamento saranno tenuti a effettuare valutazioni d'impatto sulla privacy nei casi in cui i rischi di violazione della privacy stessi siano elevati con il fine di analizzare e ridurre al minimo i rischi per le loro persone interessate.

Nuovi obblighi di notifica in caso di violazione

I "data controller" Titolari del trattamento saranno tenuti a segnalare violazioni dei dati alla loro autorità di Garante del Trattamento dei Dati a meno che sia improbabile che esse rappresentino un rischio per i diritti e le libertà delle persone interessate . La notifica deve essere effettuata entro 72 ore dal momento in cui il Titolare del Trattamento venga a conoscenza di tali violazioni, a meno che non ci sono circostanze eccezionali, che dovranno essere giustificate.

Vigerà altresì l'obbligo di notifica ai soggetti i cui dati siano stati violati, qualora la loro privacy sia a rischio. Non sono indicati termini temporali per la notifica stessa.

La supply chain sarà sottoposta a revisioni e audit regolari allo scopo di verificarne l'idoneità al nuovo regime di sicurezza.

Il diritto all'oblio

Il cittadino ha il "diritto all'oblio". Il regolamento prevede linee chiare circa le circostanze in cui tale diritto può essere esercitato.

Il trasferimento internazionale dei dati

Dal momento che il regolamento si applica anche a chi fa "data processing" (Responsabili del trattamento) le organizzazioni devono essere consapevoli del rischio insito nel trasferimento dei dati a paesi che non facciano parte dell'Unione Europea. I  "Data controller" -Titolari del Trattamento - non comunitari dovranno nominare loro rappresentanti nell'UE.

Responsabilità del trattamento dei dati

Chi effettua attività di elaborazione di dati avrà obblighi di legge diretti e responsabilità, il che significa che essi possano essere ritenuti direttamente responsabili di una violazione dei dati. Gli accordi contrattuali dovranno essere aggiornati e prevedere obbligatoriamente per gli accordi futuri l'individuazione e la ripartizione di responsabilità e obblighi tra il titolare e il responsabile del trattamento del dato. Le parti dovranno documentare ancora più chiaramente le loro particolari responsabilità rispetto ai dati e l'aumento dei livelli di rischio potrà impattare sui costi del servizio.

Portabilità dei dati

Il diritto alla portabilità dei dati consente all'utente di richiedere una copia dei dati personali in un formato utilizzabile ed elettronicamente trasmissibile ad un altro sistema di elaborazione.

Privacy by design

Il GDPR contiene i requisiti che i sistemi e i processi devono considerare conformi per il rispetto dei principi della protezione dei dati. L'essenza del privacy by design è che in un servizio o un prodotto la privacy  venga presa in considerazione non solo nel momento del delivery, ma sin dallo sviluppo del "concept" del servizio o del prodotto stesso. 

E' chiaramente indicato inoltre che per proteggere i diritti dei proprietari dei dati stessi, il Titolare del Trattamento dei dati raccolga e conservi nel tempo esclusivamente i dati necessari allo scopo. 

Lo sportello unico

Viene creato uno "sportello unico" per le imprese: le imprese dovranno fare riferimento ad un'unica autorità di vigilanza, non più ad una per ciascuno dei 28 Stati membri dell'UE, il che renderà più semplice ed economico per le aziende fare affari in Europa. Ciò avrà anche un impatto positivo sui fornitori di servizi internet con sedi multiple in diversi paesi dell'UE.


<< Indietro