Microsoft, il GDPR in quattro step

Il nuovo Regolamento della Protezione dei dati (GDPR) mette al centro la sicurezza dei dati dei singoli individui ponendo al centro la privacy dei cittadini. Alle imprese invece richiede controlli, notifiche, criteri di trasparenza, senza dimenticare la formazione del personale IT.

Nel contesto del nuovo GDPR gli individui hanno il diritto di:

• Accedere ai propri dati personali
• Correggere errori nei propri dati personali
• Cancellare i propri dati personali
• Contestare l’elaborazione dei propri dati personali
• Esportare i propri dati personali

Mentre le aziende sono tenute a:

• Proteggere i dati personali con misure di sicurezza appropriate
• Segnalare alle autorità le violazioni dei dati personali
• Ottenere consenso appropriato per l’elaborazione dei dati
• Conservare la documentazione dettagliata sull’elaborazione dei dati

Inoltre, dal punto di vista dei criteri di trasparenza le aziende sono tenute a:

• Fornire avvisi chiari sulla raccolta dati
• Evidenziare gli scopi dell’elaborazione e i casi di utilizzo
• Definire i criteri di conservazione e di eliminazione dei dati

Così come  dal punto di vista della formazione le aziende sono tenute a:

• Formare personale e dipendenti che si occupano di privacy
• Controllare e aggiornare i criteri relativi ai dati
• Avvalersi di un responsabile della protezione dei dati (se necessario)
• Creare e gestire contratti fornitore conformi

Inoltre, in tema di sicurezza del dato il nuovo Regolamento sulla sicurezza dei dati (Gdpr) impone un controllo più severo sull’ubicazione di archiviazione dei dati e sulle modalità di utilizzo, strumenti di governance dei dati più efficienti per migliorare trasparenza, conservazione della documentazione e dichiarazioni e politiche sui dati migliorate per fornire controllo agli interessati e garantire un’elaborazione che rispetta le norme.


GDPR: QUATTRO PASSAGGI CHIAVE
A fronte di tutto questo e  per iniziare il percorso verso la conformità al GDPR, Microsoft propone di concentrarsi su quattro passaggi chiave. 

Identificazione

Identifica quali dati personali possiedi e dove risiedono

Gestione

Gestisci il modo in cui i dati personali vengono usati e come accedervi

Protezione

Stabilisci controlli di sicurezza per prevenire, rilevare e risolvere vulnerabilità e violazioni dei dati

Documentazione

Conserva la documentazione necessaria e gestisci le richieste di dati e le notifiche delle violazioni

STEP1: IDENTIFICAZIONE
Il primo passo verso la conformità al Regolamento generale sulla protezione dei dati (GDPR) è stabilire se e in quale misura tale normativa si applica alla tua azienda. Per compiere tale analisi si deve capire quali dati si possedono e dove risiedono.
Il GDPR disciplina la raccolta, l’archiviazione, l’utilizzo e la condivisione di "dati personali", definendo questi ultimi in modo generale come qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Se la tua azienda raccoglie o possiede dati di questo tipo, ad esempio in database dei clienti, moduli di feedback compilati dai clienti, contenuti e-mail, foto, video delle telecamere di sorveglianza, record di programmi fedeltà, database delle risorse umane o in qualsiasi altro posto, e tali dati appartengono o si riferiscono a individui residenti nell’Unione Europea, ci si deve uniformare al GDPR.
Per capire se il GDPR si applica alla tua azienda e, in caso affermativo, per conoscere gli obblighi che ne derivano, è importante individuare e classificare i dati presenti nell’azienda.
Questo ti aiuterà a capire quali dati sono personali, a identificare i sistemi nei quali sono raccolti e archiviati e, infine, a determinare il motivo della raccolta, le modalità di trattamento e condivisione e la durata della conservazione.


STEP2: GESTIONE DEI DATI
Una gestione efficiente dei dati in ambito GDPR implica sia la governance dei dati, sia la classificazione dei dati.
Governance dei dati. Per rispettare gli obblighi nei confronti degli interessati, è necessario comprendere i tipi di dati personali trattati dalla tua azienda, nonché le modalità e le finalità del trattamento.
Completata la fase di classificazione, è importante sviluppare e implementare un piano di governance dei dati, che permetta di definire criteri, ruoli e responsabilità per l’accesso, la gestione e l’utilizzo dei dati personali e di assicurarti che le procedure di trattamento dei dati siano conformi al GDPR.



La classificazione dei dati rappresenta una parte importante del piano di governance dei dati. L’adozione di uno schema di classificazione applicabile a tutta l’azienda può risultare particolarmente utile per rispondere alle richieste degli interessati, perché consente di identificare e trattare più rapidamente le richieste relative ai dati personali.

STEP 3: PROTEZIONE DELLE INFORMAZIONE, DEI DATI
Le aziende sono sempre più consapevoli dell’importanza della sicurezza delle informazioni, ma il GDPR alza ulteriormente il livello richiedendo alle aziende di adottare misure tecniche e organizzative appropriate per proteggere i dati personali da perdita, divulgazione o accesso non autorizzato.
Il cloud Microsoft, per esempio, è progettato in modo specifico per aiutare a comprendere i rischi e ad adottare le misure di difesa opportune e risulta più sicuro di ambienti di calcolo locali sotto molti aspetti. Ad esempio, i data center Microsoft sono certificati per standard di sicurezza riconosciuti a livello internazionale, protetti 24 ore su 24 da sistemi di sorveglianza fisica e sottoposti a severi controlli di accesso.
Il modo in cui Microsoft protegge la propria infrastruttura cloud è solo una parte di una soluzione di sicurezza completa e ciascuno dei prodotti Microsoft, sia nel cloud, sia in locale, dispone di funzionalità di sicurezza che consentono di proteggere i dati aziendali

STEP 4: LA DOCUMENTAZIONE
Il GDPR stabilisce nuovi standard in materia di trasparenza, responsabilità e registrazione dei dati. Per essere compliant è necessario applicare una maggiore trasparenza non solo nelle modalità di trattamento dei dati personali, ma anche nella conservazione della documentazione che definisce i processi e l’utilizzo di tali dati.
Le aziende che trattano dati personali devono documentare le finalità del trattamento, le categorie di dati personali trattati, l’identità di terze parti con cui i dati vengono condivisi, eventuali paesi terzi che ricevono i dati personali e la base legale di tali trasferimenti, le misure di sicurezza tecniche e organizzative e i periodi di conservazione dei dati che si applicano ai diversi set di dati.
Per rispettare questi requisiti, è possibile utilizzare strumenti di controllo che garantiscono il monitoraggio e la registrazione di qualsiasi tipo di trattamento dei dati (raccolta, utilizzo, condivisione o altro).