Gdpr inizia oggi! Cosa hai bisogno di sapere

A partire da oggi, 25 maggio 2018, la legislazione del Regolamento generale sulla protezione dei dati (UE) dell'Unione Europea (GDPR) diventerà effettivamente legge globale quando si tratta di domande su come i dati personali devono essere gestiti dalle imprese. Mentre potresti pensare che una legge sulla protezione dei dati ratificata in Europa si applichi solo agli europei, ti sbaglieresti. Questo perché il GDPR protegge tutti i cittadini dell'UE, indipendentemente dal luogo in cui vivono e dalle persone con cui intrattengono rapporti commerciali, il che significa che le società americane con clienti dell'UE sono esattamente soggette ai requisiti del GDPR e, peggio, alle sanzioni. Peggio ancora, secondo un recente rapporto di Crowd Research Partners, solo il 7% delle aziende è sulla buona strada per essere conforme al GDPR entro la scadenza odierna.

E mentre ci sono passi che puoi fare anche oggi per mantenere la tua azienda almeno un po 'sicura rispetto al GDPR, raggiungere la piena conformità non è un progetto leggero. I processi di raccolta dei dati devono essere pertinenti al modo in cui i dati verranno utilizzati dall'azienda (ad esempio, i dati sugli acquisti dei consumatori ma non i dati relativi all'anamnesi delle società di e-commerce). Le aziende dovrebbero essere disposte e in grado di spiegare esattamente quali dati sono stati raccolti e perché. Le pratiche di sicurezza devono dimostrare una chiara capacità di protezione da perdita, danno e distruzione e i dati non devono essere conservati più a lungo del necessario. Qualsiasi azienda che non rispetta il regolamento sarà soggetta a una perdita del 4% delle sue entrate annuali.

"Questo non è un insieme senza regole di norme e regolamenti", ha affermato Ankur Laroia, leader delle soluzioni strategiche presso Alfresco, fornitore di sistemi di gestione delle informazioni. Laroia sostiene che diverse questioni all'interno dello statuto del regolamento renderanno difficile per le aziende rimanere conformi. Ad esempio, alcuni problemi includono regole scritte in modo astratto sul motivo per cui vengono raccolti i dati, superando i requisiti per il lavaggio dei dati dei clienti quando richiesto e la necessità per alcune aziende di rinnovare totalmente le procedure di sicurezza al solo scopo di garantire la conformità. Tuttavia, Laroia non pensa che l'UE stia scherzando.

"L'UE inseguirà i trasgressori", prevede. "Se questo fosse stato messo in atto, Equifax avrebbe avuto molti problemi."

Il GDPR, pur concentrandosi principalmente sui cittadini dell'UE, presenta anche uno scenario da incubo per gli imprenditori americani., analizzeremo ciò che gli americani devono sapere per iniziare il viaggio verso la conformità al GDPR.

1. Le aziende americane dovranno conformarsi

Se la tua libreria per mamme e pop non ha mai spedito un pacco al di fuori della tua città, probabilmente non dovrai preoccuparti del GDPR. Tuttavia, se hai anche un solo cliente con sede nell'UE, dovrai iniziare immediatamente il processo per diventare conforme al GDPR. Ai sensi dello statuto, i dati dei cittadini dell'UE devono essere protetti e, se richiesto, è necessario fornire al cittadino tali dati. Ancora più importante, potrebbe essere necessario eliminare tali dati dai propri sistemi se e quando il cittadino effettua la richiesta. Se non lo fai e il cane da guardia del GDPR lo scopre, allora perderai il 4 percento delle tue entrate annuali.

"Sebbene sia una direttiva UE, ha un impatto su qualsiasi azienda in tutto il mondo che ha residenti nell'UE come clienti", ha affermato Pete Lindstrom, Vicepresidente della ricerca sulla sicurezza presso IDC. "Se hai campi indirizzo e sono indirizzi europei, saranno probabilmente considerati europei."

Non c'è distinzione tra un'azienda con sede nell'UE o in una città come Skokie, Illinois. La legge si concentra invece sulle informazioni di identificazione personale (PII) e su dove risiede la persona associata ai dati. Chiunque disponga di qualsiasi tipo di dati PII su un cliente europeo dovrà conformarsi.

Anche se la tua azienda ha pochi clienti con sede nell'UE, è altamente improbabile che la tua libreria locale venga controllata dai cani da guardia del GDPR. Ma le grandi aziende, come Facebook e Yahoo, non saranno in grado di rivendicare la fedeltà americana come un modo per aggirare il GDPR.

"Se sei una mamma-e-pop e hai una violazione, sei legalmente responsabile", ha detto Laroia. "È difficile dire se verranno realisticamente a cercarti… ogni stato membro dell'UE avrà un ufficio di conformità. Quell'ufficio inizierà a chiedere lo schema di conformità di tutti. Creeranno un inventario delle aziende che fanno affari nelle loro aree geografiche. Controlleranno i ragazzi più grandi e inizieranno a fare domande ".

Le società americane che non rispettano le regole non dovrebbero aspettarsi che il governo degli Stati Uniti li protegga quando gli stati dell'UE sostenuti dal GDPR tentano di incassare le entrate perse. "Il governo degli Stati Uniti è costretto a garantire l'esecuzione di tali sentenze", ha dichiarato Laroia. "Non è ancora possibile vedere se vengono applicate, ma il governo dell'UE dovrà combattere".

2. 25 maggio Significa 25 maggio

Sebbene il regolamento entri in vigore oggi, 25 maggio 2018, la legge è stata ratificata dal Parlamento dell'UE il 14 aprile 2016. Ciò significa che, per quanto riguarda l'UE, le aziende hanno avuto molto tempo per mettere in atto pratiche conformi al GDPR. Quindi, se domani la tua azienda viene colpita da un massiccio attacco informatico e gocciolano i dati che hai raccolto su clienti, visitatori del sito Web e persino partner escono sul malvagio web oscuro, allora non puoi rivendicare "tempo insufficiente" come scusa per divulgare i dati dei cittadini dell'UE.

"Gli statuti sono entrati in vigore", ha detto Laroia. "È possibile che ti venga chiesto di mostrare già il tuo percorso verso la conformità. Hai inventariato? Qual è il tuo protocollo per chiedere ai cittadini dell'UE in merito ai tuoi dati? A queste aziende possono essere chieste queste informazioni in questo momento. Inizieranno a essere multati il ​​prossimo anno se non possono dimostrare la conformità dopo maggio ".

3. Non aspettarti un'estensione

A differenza della maggior parte delle battaglie sulla regolamentazione legale che abbiamo negli Stati Uniti (ad esempio, la neutralità della rete), nessuno nell'UE è intervenuto il 24 maggio 2018 per contestare il GDPR e quindi posticipare il regolamento a tempo indeterminato. Gli europei lo volevano e ora ce l'hanno.

"Questa è la bellezza del modo in cui i regolamenti sono stati istituiti", ha detto Laroia. "Dato che hanno dato alle aziende un anno per ottenere il giusto atto, non ci sono state sfide dal punto di vista del contenzioso. Se l'avessimo visto, sarebbe già successo. Qualcuno potrebbe farlo dopo essere stato citato in giudizio? Sono sicuro che ci proveranno, ma a quel punto sembrerà male su di loro ".

4. Cosa devi fare per conformarti

Come richiesto dal regolamento, dovrai incaricare qualcuno della gestione del processo di conformità. Questa persona, che la legge GDPR definisce il "Responsabile della protezione dei dati" (DPO), sarà la persona responsabile responsabile del controllo del team di supervisione del GDPR attraverso i modi in cui la tua azienda ha protetto i suoi dati. Questa persona sarà anche responsabile di mettere insieme le diverse linee di business all'interno della tua azienda per produrre una metodologia per ottenere e rimanere conformi al GDPR.

In breve, i compiti del responsabile della protezione dei dati si suddivideranno in quattro categorie chiave:

• In primo luogo, devono avere abbastanza familiarità con i dettagli del GDPR per agire come persona di riferimento non solo per il processo di conformità iniziale, ma per tutte le domande sulla gestione dei dati relative al GDPR in futuro, e sicuramente abbastanza per poter rispondere alle domande di entrambi i senior dirigenti e gestione dei dati agenti IT sul campo.
• In secondo luogo, devono essere in grado di monitorare tutti i processi di gestione dei dati in corso nella propria organizzazione e valutare la loro efficacia in termini di sicurezza dei dati personali.
• In terzo luogo, devono disporre di capacità di auditing e monitoraggio su qualsiasi area della tua azienda che potrebbe essere influenzata dal GDPR e valutarne la conformità su base regolare.
• E infine, devono essere in contatto con le autorità del GDPR per il tuo settore, collaborare con loro e agire come punto di riferimento per qualsiasi richiesta proveniente da tale autorità.

Tutto ciò si riduce a una persona che capisce i flussi di dati, le misure e le tecnologie di protezione dei dati, nonché non solo la conoscenza dei dettagli della legislazione GDPR, ma anche la conoscenza della legislazione UE correlata e pertinente, come la sua direttiva sulla e-privacy. La probabile mancanza di queste competenze ha creato una sorta di opportunità green field per consulenze aziendali e IT ma, se stai cercando di sviluppare questo talento internamente, una buona scommessa è cercare risorse di apprendimento online europee di lingua inglese, molti dei quali hanno sviluppato corsi DPO GDPR per questo scopo. Inoltre, ci sono organizzazioni multinazionali del settore, come l'Associazione internazionale dei professionisti della privacy (IAPP), che offrono corsi di formazione e certificazioni GDPR.

Per una nota più tecnica, al fine di rimanere conformi, è necessario utilizzare almeno un metodo di crittografia per server fisici, NAS (Network Attached Storage), dischi e unità e accesso alla rete. Dovrai verificare l'identità dei dipendenti e istituire l'autenticazione a più fattori (MFA) quando accedi alle PII e per le transazioni che includono dati PII. Dovrai eliminare tutte le pratiche che accedono o elaborano i dati per scopi non autorizzati, monitorare e verificare costantemente i dati per garantire la pertinenza e eliminare completamente e irreversibilmente i dati dei clienti quando richiesto. Le organizzazioni dovranno condurre valutazioni complete dei rischi e lavorare con i partner, in particolare quelli collegati tramite le interfacce di programmazione delle applicazioni (API), per garantire la conformità costante.

Infine, se i dati della tua organizzazione vengono violati, dovrai informare immediatamente il tuo supervisore GDPR associato per descrivere la violazione e le sue conseguenze in pieno. E dovrai comunicare le conseguenze della violazione ai clienti interessati.

5. Clienti statunitensi

Laroia ha affermato che, in definitiva, è un buon senso degli affari salvaguardare ed essere buoni amministratori delle informazioni sui clienti. "Devi guardare questo dal punto di vista del cliente finale", ha detto Laroia. "Sono la ragione per cui queste aziende sono in attività. Sì, sebbene sia doloroso per l'azienda, le aziende non hanno investito in tecnologia o tenuto il passo con l'innovazione".

Sfortunatamente, simili regolamenti statunitensi non sono sui libri. Le società che svolgono attività commerciali a New York ai sensi dei requisiti di sicurezza informatica del Dipartimento dei servizi finanziari di New York sono coperte in una certa misura. Il presente regolamento impone alle imprese con sede a New York di attuare e mantenere una politica o politiche scritte, approvate da un Senior Officer o dal consiglio di amministrazione dell'Ente coperto (o da un comitato appropriato dello stesso) o da un organo di governo equivalente. Ciò stabilisce le politiche e le procedure dell'Ente coperto per la protezione dei suoi Sistemi di informazione e delle Informazioni non pubbliche archiviate su tali Sistemi di informazione, secondo la legge scritta.

Altri stati, come il Colorado, hanno discusso dell'attuazione di regolamenti simili. Tuttavia, non esiste alcuna legge federale statunitense. Ma Laroia è ottimista, gli Stati Uniti saranno i prossimi. "Gli americani non hanno tali diritti", ha detto. "Ma dagli cinque anni."