Anche i Data Center sono coinvolti nel nuovo regolamento GDPR, che entrerà in vigore il 25 maggio 2018 per rispondere alle nuove esigenze di Privacy dei cittadini richieste dalla nuova era digitale. Il GDPR avrà profonde conseguenze per tutte le aziende che hanno rapporti di business con cittadini europei, all’interno e all’esterno del perimetro dell’Europa.
Il regolamento investirà diverse aree delle aziende, processi interni e sistemi IT. Anche i Data Center dovranno essere adeguati con diversi tipi di soluzioni e approcci, ai diversi requirement richiesti. Eccone alcuni.
- Art. 24 e 25 – Il principio di Accountability, uno dei pilastri del GDPR. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire la Data Protection e dovrà essere in grado di dimostrare che il trattamento dei dati è effettuato conformemente al regolamento. Queste misure dovranno essere aggiornate e riviste, quando necessario.
- Il principio di Privacy By Design (fin dalla fase di progettazione): il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del regolamento e la tutela dei diritti degli interessati.
- Il principio di Privacy By Default (per impostazione predefinita): il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento.
- Art. 5 I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
- Artt. 15-22 Il diritto di Accesso, di Rettifica, alla Cancellazione (più noto come diritto all’Oblio), di Limitazione del Trattamento, alla Portabilità dei Dati, di Opposizione al trattamento, con gli eventuali obblighi connessi di notifica gravanti sul titolare, e diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati.
Il General Data Protection Regulation è destinato ad avere un profondo impatto nel modo in cui le organizzazioni trattano i dati personali. Manca poco tempo alla sua applicazione, ma il GDPR per molte aziende è ancora un argomento poco conosciuto nella sua reale natura. Molte organizzazioni hanno invece realizzato che, se da un lato il GDPR è un insieme di obblighi e sanzioni, dall’altro può rappresentare un’occasione per implementare Business Practice e soluzioni per proteggere i dati personali aziendali da minacce interne ed esterne. Per essere in Compliance è necessario disegnare e avere in mente una chiara Roadmap.
Indice degli argomenti
Tecnologia e organizzazione: due facce della stessa medaglia
Due sono gli approcci necessari e imprescindibili. Da una parte, c’è naturalmente l’approccio tecnologico, ossia l’adeguamento di tutti i Sistemi IT sul piano di un’Accessibilità, Tracciabilità e Sicurezza end-to-end; dall’altro c’è un approccio organizzativo, che implica l’implementazione di nuove business practices e fasi di Risk Assessment per una valutazione “olistica” dei rischi, gap analysis e modellazione dei processi a tutti i requirements imposti dal legislatore.
ERP in cloud: scopri come implementare SAP S/4HANA in modo rapido e scalabile!
I principi fondamentali del GDPR li troviamo sicuramente nell’art. 24 e 25, che descrivono il principio di Accountability, di “Privacy By Design “ e di “Privacy By Default”. Le aziende, per allinearsi a tali Requirements, non possono limitarsi ad azioni e iniziative a posteriori e reattive, ma è necessario predisporre sistemi tecnologici e organizzativi dinamici e flessibili, in grado di scalare facilmente in funzione della complessità delle problematiche, e capaci di adattarsi in maniera proattiva alle nuove esigenze del Business.
Infrastrutture IT e GDPR
Sul fronte operativo è necessario abilitare un’infrastruttura tecnologica modellata in compliance al regolamento e, last but not least, un’altra serie di framework, best practices e normative precedenti che si sono accumulate nel tempo. Le aziende devono e dovranno essere in grado di gestire tutto il legacy.
In particolare, con l’entrata in vigore del GDPR, le aziende dovranno essere sempre in grado di fornire evidenza delle informazioni relative a un determinato soggetto specificando, quando richiesto, per quanto tempo esse vengano conservate e a quali scopi vengano processate ed essere in grado di garantire, in tempi brevi, sia il diritto all’oblio che la portabilità dei dati. La compliance dipende quindi da un’integrazione tra interventi tecnici, nuove Business Practice e adeguamenti organizzativi, attraverso processi che devono far leva su soluzioni altamente affidabili, flessibili, scalabili e che garantiscano la continuità dei servizi.
L’implementazione di soluzioni che assicurino maggiore sicurezza, tracciabilità e automazione dei processi può rivelarsi fondamentale non solo per raggiungere la compliance ma può risultare altresì l’occasione per accelerare e supportare l’azienda lungo il percorso di Trasformazione Digitale, che rappresenta una sfida e una grande occasione di “Disruption”, con l’introduzione di nuove tecnologie e modelli di business.
Soluzioni per la Data Center Intelligence
Il mercato dei software vendor ha sviluppato differenti soluzioni per adempiere al GDPR, tra cui soluzioni specificamente imperniate sugli adempimenti ma anche sulle opportunità per il Business, che possono scaturire nel momento in cui ci si adegua al regolamento con un approccio Agile.
La Roadmap per la Compliance può rappresentare un adempimento per evitare pesanti sanzioni (fino a 20 Milioni di Euro oppure fino al 4% del Fatturato Totale Annuo) ma, allo stesso tempo, una grande occasione per creare valore e vantaggio competitivo per tutta l’azienda.
Per ulteriori informazioni clicca QUI
