Secondo Gartner, oltre il 60% delle aziende italiane non è attualmente pronta al General Data Protection Regulation e secondo una stima, il 50% delle aziende in Europa non era in regola per fine 2018. Questo pone l'accento sui rischi che la cosa può scatenare a livello di sicurezza ma anche a livello economico.

Il General Data Protection Regulation è una normativa europea, entrata in vigore ad aprile 2016 ma diventata sanzionabile dal 25 maggio 2018, la quale sancisce l'obbligo di trattare i dati degli utenti privati in modo più responsabile e sicuro. Il regolamento è valido per liberi professionisti ed aziende,indistintamente dal numero di dipendenti al suo interno.

Alcuni dei punti chiave, relativi a la sfera IT:

  • Eliminazione della distinzione tra amministratori e non
  • Eliminazione del concetto di "misure minime"
  • Obbligo di poter dimostrare l'attuazione delle misure
  • obbligo di formazione interna sui rischi del mondo informatico

Anche se la tua azienda non effettua transazioni con utenti finali, i tuoi stessi dipendenti sono da considerarsi come utenti privati e come tali, devi proteggere le loro informazioni.

 

Le fasi, relative al mondo IT, previste dal GDPR:

  • Proteggere i client e device mobili con sistemi di cifrature ed MDM
  • Consentire l'accesso alle informazioni solo ai diretti interessati
  • proteggere l'infrastruttura con firewall e networking adeguati
  • Poter generare report sugli accessi in tempi rapidi
  • Proteggere server e client con sistemi antivirus
  • Implementare una strategia di backup adeguata
  • Implementare una piattaforma di audit

COSA SUCCEDEREBBE SE LA TUA AZIENDA NON OTTEMPERASSE AL GDPR

I rischi non sono solo relativi alla sicurezza. Oltre al danno di immagine, in caso di Data Breach, la sanzione prevista è fino al 4% del fatturato globale annuo o 20 milioni di euro. Un altro aspetto sottovalutato è i fatto che i partner, con cui solitamente lavoriamo, potrebbero obbligarci a fornire una documentazione sullo stato di attuazione del GDPR e chiedere una valutazione personale. La mancanza di tale documentazione, potrebbe portare ad un'interruzione della collaborazione lavorativa e quindi ad un danno ben maggiore.