Le aziende europee, nel caso in cui non l’abbiano già fatto, dovranno presto preoccuparsi del modo in cui conservano a utilizzano i dati. Entro il 2018, infatti, dovrà essere recepito dalle singole legislazioni degli Stati membri il nuovo Regolamento per la Protezione dei Dati Personali (Gdpr) approvato lo scorso maggio dall’Unione Europea. Fra i suoi principi, in parte derivati dalla precedente direttiva 95/46/CE, spiccano il diritto all’oblio, l’obbligo di comunicare entro 72 ore avvenute violazioni informatiche o incidenti, l’obbligo della trasparenza (per cui le informazioni di utilità pubblica o individuale devono essere facilmente accessibili e comprensibili) e l’istituzione della figura del Responsabile della protezione dei dati. E spicca anche un ulteriore principio: quello della pseudonimizzazione, secondo il quale le informazioni di profilazione debbano essere conservate in una forma che impedisca l’identificazione dell’utente.
Secondo un recente studio di Delphix, sono davvero basse le percentuali (tra il 20% e il 40% circa) di aziende italiane, francesi, tedesche e britanniche che dichiarano di aver compreso questo concetto. E poche, dunque, sono già pronte ad adeguarsi a regole che presto diventeranno obbligatorie e imporranno sanzioni pesanti a chi non le rispetta. Ne abbiamo parlato con Mauro Trione, vice president sales Southern Emea di Delphix.
Mauro Trione, vice president sales Southern Emea di Delphix
Che cosa cambierà per le aziende europee con l’introduzione del nuovo Gdpr?
La vecchia normativa sulla Protezione dei Dati era obsoleta, risalente agli anni Novanta, quando la quantità di informazioni “private” su cui mettere le mani era veramente bassa. La connettività domestica non superava i 56 K, non esistevano applicazioni come l’home banking, i pagamenti online, né i social media. Oggi la velocità della rete è enorme, così come la quantità di dati che vi transita. Oggi siamo tutti connessi, tutto è in rete, non ci sono praticamente frontiere. Il regime di protezione dei dati proposto per l’Ue estende gli obiettivi della legge comunitaria sulla protezione dei dati a tutte le imprese estere che gestiscono informazioni di residenti europei. Permette di armonizzare i vari regolamenti sulla protezione dei dati in tutta l’Unione facilitando così l’osservanza di tali regolamenti anche da parte delle imprese non europee.
Quali, fra le nuove norme previste, impatteranno di più sulla concreta gestione del business e dei dati aziendali?
La legge prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari. È necessario da subito un adeguamento nel modo in cui si gestiscono e si proteggono i dati, con tecnologie e processi “compliant” in caso di verifica da parte delle autorità, in modo da evitare sanzioni molto pesanti.
In quale direzione si dovrà lavorare per adeguarsi alle nuove regole?
Attualmente è la Francia lo Stato europeo che dimostra di comprendere meglio la pseudonimizzazione prevista nel Gdpr, anche se la percentuale delle aziende transalpine intervistate che sostengono di averne compreso pienamente i requisiti è pari solo al 38%. Lo stato di comprensione e di consapevolezza delle aziende italiane verso il Gdpr rimane, invece, preoccupante. Le aziende, in generale, non conoscono il regolamento o non sono ancora pronte ad adeguarvisi. In particolare, in Italia, le aziende hanno bisogno di verificare le proprie politiche di protezione dei dati.
Ci spieghi meglio come funziona la pseudonimizzazione…
Quando si parla di protezione dei dati personali, il mascheramento e l'hashing dei dati rappresentano lo standard de facto per ottenere la pseudonimizzazione. Prendiamo come esempio i dati personali non protetti, spesso liberamente disponibili negli ambienti di non produzione utilizzati per sviluppare e testare software, oltre che per formazione, rapporti e analiytics. Sostituendo queste informazioni sensibili con dati fittizi ma realistici, le aziende possono annullare i rischi per i dati stessi, preservandone al tempo stesso il valore. Il mascheramento trasforma in maniera irreversibile i dati sensibili, in modo tale da eliminare i rischi e consentire alle organizzazioni di dimostrare la conformità con i requisiti del Gdpr.
La tecnologia è già disponibile, dunque?
Oggi la tecnologia ha fatto un significativo salto in avanti su questi temi. L'adozione di nuove tecnologie, comprese quelle che combinano la virtualizzazione dei dati con il mascheramento dei dati, permette alle organizzazioni di pseudonimizzare i dati una sola volta e garantire che vengano applicate le stesse norme sulla sicurezza alle copie successive. Ciò metterà al sicuro le aziende da costose violazioni dei dati e garantirà la conformità, migliorando al tempo stesso l'agilità e il time to market.
Quanto costa adeguarsi a questi requisiti, e che benefici si possono ottenere?
Esistono soluzioni facilmente implementabili e soprattutto scalabili, a misura di Pmi e anche, opportunamente dimensionate, del mercato enterprise. Con costi che sono assolutamente giustificati considerando l’innovazione ottenuta e le sanzioni evitate. Man mano che le aziende si adegueranno alla normativa, e quindi anche alla pseudonimizzazione, per loro presenteranno anche nuove opportunità perché ci sarà maggiore disponibilità di dati sicuri che potranno essere usati per accelerare le iniziative It e per supportare l’innovazione. Come conseguenza, tra i maggiori vantaggi, si potranno velocizzare i processi It e aziendali che dipendono dall’accesso a dati sicuri e di ridurre i rischi di reputazione in caso di violazione dei dati. Inoltre la pseudonimizzazione ridurrà la quantità di tempo e denaro investita in iniziative di protezione dei dati. L'adozione di nuove tecnologie, comprese quelle che combinano la virtualizzazione dei dati con il mascheramento dei dati, permette alle organizzazioni di pseudonimizzare i dati una sola volta e garantire che vengano applicate le stesse norme sulla sicurezza alle copie successive.