Gdpr è a 1 giorno di distanza: sai dove sono i tuoi dati?

Per molte aziende, in particolare per molte piccole e medie imprese (PMI), l'ubicazione effettiva dei loro dati può essere un mistero. Supponiamo, ad esempio, che tu sia in esecuzione su un cluster di server basato su cloud situato nella regione della Virginia del Nord appartenente ad Amazon Web Services (AWS). Ciò significa che i tuoi dati si trovano nella Virginia del Nord, giusto? Beh, sì, probabilmente. Ma diciamo che stai facendo affari con aziende o privati ​​in Europa. Quindi i dati su tali entità sono probabilmente anche in quella regione. E in brevissimo tempo, potrebbe essere un problema.

Venerdì 25 maggio entrerà in vigore il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea (UE). A quel punto, la tua azienda rientra nei regolamenti imposti dall'UE che coprono nuovi requisiti per la protezione dei dati personali dei cittadini. Anche se non ti trovi in ​​Europa, la tua azienda è comunque soggetta a tali regolamenti se detieni dati personali sui residenti nell'UE. Il problema è che, anche se ritieni che il recupero dei dati nella tua sede aziendale negli Stati Uniti li proteggerà meglio, potresti non essere autorizzato a archiviarli negli Stati Uniti.

Ancora più importante, a parte il GDPR, ci sono altre normative sui flussi di dati transfrontalieri che è necessario prendere in considerazione. Questo perché avere i dati di un cittadino dell'UE (o di qualcuno che vive nell'UE che non è un cittadino) che passa attraverso un altro paese lungo la strada può essere problematico. Ciò significa che devi sapere più che solo dove si trova quando lo stai memorizzando: devi sapere dove si trova tra te e ovunque si trovi il tuo cliente o dipendente.

Non entrerò nelle sanzioni draconiane che potrebbero aspettarti se violerai le regole del GDPR perché sono state delineate in questa colonna e in molti altri luoghi in passato. Quindi, diciamo solo, non vuoi che queste penalità ti vengano mai applicate.

7 percorsi per la conformità al GDPR

Ma fintanto che prenderai alcune misure preventive, non dovresti preoccuparti di sanzioni. Ci sono alcune cose abbastanza facili che puoi fare per evitare problemi. Eccone sette, in ordine dal più semplice al più difficile da fare.

Non raccogliere informazioni personali da persone nell'UE. Se il tuo sito Web ha la possibilità per qualcuno di compilare informazioni personali (il suo nome e indirizzo, ad esempio) nel processo di registrazione sul tuo sito Web, allora non accettare le registrazioni dall'UE o non accettarle affatto.

Se devi accettare informazioni personali da persone nell'UE (forse perché hai un sito web di e-commerce che vende prodotti lì), allora i dati vengono archiviati su un server cloud situato all'interno dei confini dell'UE. Spesso si tratta semplicemente di configurare un cluster di server Infrastructure-as-a-Service (IaaS) utilizzando il sito Web europeo del provider di cloud corrente. In alternativa, finanziare un breve impegno con la maggior parte delle armi dei servizi professionali dei fornitori di servizi cloud li vedrà occuparsi di questo compito per te. Non solo, ma se sei abbastanza fortunato da interagire con i loro consulenti con sede in Europa , probabilmente avrai anche i test certificati e la documentazione adeguata.

Mentre ci sono volte in cui puoi spostare i dati negli Stati Uniti o in uno dei pochi altri paesi in Europa, ci sono dei limiti. Negli Stati Uniti, si basano sullo scudo per la privacy, che è un accordo tra Stati Uniti, UE e Svizzera che specifica i requisiti di protezione per i flussi di dati tra gli Stati Uniti e quei paesi. Probabilmente è una buona idea per la tua organizzazione certificare che soddisfa i requisiti di protezione dei dati del GDPR, ma il diritto dell'UE è tale che la raccolta e la conservazione dei dati sono limitate solo a ciò che è necessario per eseguire l'attività immediata. Ciò significa che qualcuno con conoscenza dei dettagli del GDPR traccia i tuoi vari flussi di dati. Sebbene noioso, questo è l'unico modo per essere sicuri di essere conforme.

Se è necessario elaborare dati, sia all'interno dell'UE che negli Stati Uniti, è necessario soddisfare requisiti specifici, incluso il nominare un responsabile della protezione dei dati (DPO). Dovrai anche organizzare un flusso di lavoro dedicato alla rimozione dei dati quando non è più necessario, e questo può diventare particolarmente complesso perché parte di questo è assicurarsi di poter rimuovere le informazioni personali di chiunque chieda di essere dimenticato. Francamente, questo è un altro motivo per pensare due volte alla memorizzazione di informazioni su persone provenienti dall'UE.

Se devi davvero fare affari nell'UE, probabilmente dovresti pensare di avere una presenza lì piuttosto che solo un account cloud con un server o un servizio di condivisione di file di livello aziendale in Europa. Potresti voler coinvolgere un'azienda per gestire i tuoi affari in Europa o potresti voler aprire un ufficio, dal momento che il personale degli esperti e dei consulenti del GDPR sarà più facile da quella parte dello stagno, per non parlare del fatto che semplicemente fare affari europei in un post-GDPR il mondo sarà intrinsecamente più facile in Europa che altrove.

Se apri un ufficio, anche i tuoi dipendenti in Europa devono avere le loro informazioni gestite secondo le regole del GDPR. Sebbene sia possibile conservare una documentazione relativa ai dipendenti negli Stati Uniti, è necessario seguire le regole, incluso il non detenere alcuna informazione non strettamente necessaria affinché un dipendente possa svolgere il proprio lavoro. Dovrai anche ottenere l'autorizzazione dal dipendente per archiviare informazioni personali (forse in modo che possa essere pagato), ma il tuo responsabile della protezione dei dati dovrà valutare tutti i dati archiviati per essere sicuro che sia necessario. Ad esempio, non puoi chiedere la loro fotografia a meno che non ci sia una ragione, e quindi devi fornire una giustificazione molto specifica su come verrà utilizzata. E al dipendente deve essere permesso di declinare senza ripercussioni.

Ora per la parte complicata: il reparto IT deve essere in grado di determinare dove si trovano i dati protetti in ogni momento, dove vanno mentre li stai usando, dove sono archiviati e come sono protetti. Solo per dire che è sul tuo server cloud in Irlanda non è abbastanza; la tua gente dovrà sapere come arriva a quel server, cosa succede quando viene usato e come è protetto - in dettaglio. La tua scommessa migliore è assumere esperti per farlo per te, almeno le mappature iniziali e la selezione di strumenti di gestione che manterranno tali informazioni. Alla fine saranno necessari un responsabile della protezione dei dati e personale di supporto, ma a breve termine, la maggior parte delle imprese farebbe bene a coinvolgere almeno un consulente con esperienza verificabile.

Per i procrastinatori

Certo, non per dirlo troppo bene, ma avresti già dovuto fare tutto questo. Tuttavia, essendo la realtà degli affari quotidiani ciò che sono, è probabile che molti di voi leggano questo. Quindi ora che la data è praticamente alle tue spalle, inizia almeno sapendo dove sono i tuoi dati. E se non è dove dovrebbe essere, allora vedi il punto numero 1 sopra finché non l'hai capito.

Mentre lo fai, è una buona idea pubblicare un modulo di consenso prima che chiunque possa accedere alla parte del tuo sito Web che richiede informazioni personali. Sagara Gunathunge, vicepresidente del progetto Apache Web Services e direttore di WSO2, offre alcuni esempi di moduli di consenso liberamente disponibili per vari scopi. Ma ricorda che devi tenere traccia di chi compila questi moduli in modo da poter mostrare un collegamento diretto alle informazioni che hai raccolto e se sono archiviate nell'UE o altrove. Assicurati di renderlo chiaro, preciso e di dire esattamente cosa sta succedendo alle informazioni che stai raccogliendo. Sì, è un dolore al collo. Ma l'altra scelta è l'opzione 1.