Il 25 maggio 2018 è stato introdotto il Regolamento generale sulla protezione dei dati (GDPR). Il suo scopo è rafforzare i diritti sui dati delle persone e far rispettare diversi obblighi alle istituzioni che gestiscono ed elaborano i dati. La conformità al GDPR ha una portata di vasta portata che potrebbe interessare molte aziende in tutto il mondo.
L'ambito del GDPR comprende tutte le organizzazioni dell'Unione Europea (UE) che raccolgono, archiviano o elaborano dati personali di qualsiasi persona residente all'interno dell'UE (indipendentemente dalla loro nazionalità), nonché qualsiasi organizzazione non UE che offre beni e servizi ai residenti in Europa o organizzazioni non UE che trattano informazioni di identificazione personale.
Se un'organizzazione viene trovata in violazione del GDPR, può essere multata fino a 20 milioni di euro o al 4% del suo fatturato annuo globale. L'UE ha già iniziato a multare le organizzazioni che violano la conformità al GDPR; pesi massimi come Google rischiano multe (una multa di 44 milioni di euro nel caso di Google), con Amazon, Apple, Netflix e Spotify anche a rischio di multe per la protezione dei dati.
L'Unione Europea si aspetta che i fornitori di servizi gestiti (MSP) in tutto il mondo diventino conformi alla legislazione GDPR. La stragrande maggioranza degli MSP elabora le informazioni di identificazione personale per i clienti europei o per i clienti europei. Spesso l'MSP potrebbe non essere a conoscenza di quali dati vengono elaborati, poiché in precedenza era responsabilità del proprietario dei dati attenersi alle norme sulla protezione dei dati. Poiché gli MSP sono classificati come responsabili del trattamento dei dati, i servizi tecnici offerti ai clienti finali rientrano nell'ambito del GDPR:in sostanza, il GDPR richiede che gli MSP siano a conoscenza del tipo di dati elaborati.
Ad esempio, si consideri un MSP che fornisce l'infrastruttura come servizio per un cliente e il suo dipartimento delle risorse umane utilizzando file server per elaborare le domande di lavoro dei potenziali dipendenti; questi contengono informazioni di identificazione personale. Poiché questi dati sono ospitati sull'infrastruttura di archiviazione dell'MSP, l'MSP e il cliente hanno una responsabilità condivisa per la conformità al GDPR.
Secondo le linee guida del GDPR, gli MSP hanno il dovere di proteggere i dati in modo da garantire la sicurezza di tutti i dati personali, inclusa la protezione da trattamenti non autorizzati o illegali, nonché da perdite e danni accidentali. È necessario predisporre salvaguardie amministrative, fisiche e tecniche, poiché il diritto dell'UE attribuisce pari responsabilità ai titolari del trattamento e ai responsabili del trattamento dei dati. Ciò richiede un modello di responsabilità condivisa tra tutte le parti.
Il tipo di dati nell'ambito del GDPR è qualsiasi informazione di identificazione personale che potrebbe includere:
- Informazioni biografiche personali – come nome, indirizzo e codice fiscale, data di nascita, numero di telefono e indirizzi e-mail, nonché dettagli sull'aspetto di una persona come peso, colore degli occhi o altre caratteristiche
- Informazioni finanziarie – come stipendio, codici fiscali o informazioni sul prestito studentesco
- Dati Web – come indirizzo IP, dati di conservazione dei cookie
- Dati sanitari, biometrici o genetici – come anamnesi, informazioni sulla malattia a lungo termine, richieste di risarcimento per l'assicurazione sanitaria
- Informazioni private – come l'orientamento sessuale, le opinioni politiche, le convinzioni religiose o l'appartenenza sindacale. Questo può includere anche informazioni di geo-tracciamento come Fitbit o tracker di Google Maps.
(Fonte:https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
I dettagli di cui sopra graffiano solo la superficie dei tipi di dati che rientrano nell'ambito del GDPR. In verità, la quantità di dati che potrebbe essere soggetta alla conformità al GDPR è ampia e può includere quasi tutti i contenuti software, dati, testo, audio o video. Questo approccio può esercitare pressioni sui responsabili del trattamento dei dati e sui gestori dei dati all'interno della divisione dei servizi gestiti per garantire che i dati vengano gestiti correttamente. Per aggiungere ulteriore complessità, i dati devono essere forniti dalla clientela che ha esplicitamente aderito al trattamento dei propri dati personali.
Dopo aver concesso l'autorizzazione al fornitore di dati, il fornitore di servizi gestiti è responsabile di garantire che rispetti l'articolo 5 del GDPR, il quale afferma che i dati personali devono essere:
- Trattati in modo lecito, corretto e trasparente
- Trattati in modo da garantire un'adeguata sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentali, utilizzando misure tecniche o organizzative adeguate ("integrità e riservatezza")
- I dati, una volta trattati, devono essere legittimamente distrutti al momento concordato
(Fonte:http://www.privacy-regulation.eu/en/article-5-principles-relating-to-trattamento-dei-dati-personali-GDPR.html)
Le classificazioni dell'articolo 5 sull'elaborazione dei dati comportano che gli MSP debbano garantire che anche il software e i servizi che forniscono, incluso qualsiasi software cloud, siano conformi al GDPR. Ciò porta nell'ambito elementi come software di virtualizzazione, fornitori di hardware e livelli di rete tutti verificati dall'MSP come conformi. Se un MSP sfrutta un modello di cloud privato, pubblico o ibrido, deve basarsi su un architetto sicuro nell'ambito delle linee guida del GDPR.
È fondamentale per gli MSP mantenere registri accurati sul backup e sull'archiviazione dei dati per tutti i dati nell'ambito del GDPR. Gli MSP devono essere in grado di identificare rapidamente i dati degli utenti finali, fornire record dei dati (come i registri di backup) e, se necessario, eliminare o recuperare i dati. Tutto ciò in relazione al diritto riconosciuto dal GDPR per le persone di richiedere copie dei dati in loro possesso.
Il GDPR attribuisce inoltre la proprietà agli MSP per creare politiche e procedure di sicurezza in atto per garantire che tutti i dati nell'ambito di applicazione siano protetti. Le garanzie tecniche possono variare, ma in genere includono la pseudonimizzazione e la crittografia dei dati inattivi e in transito, criteri rigorosi per le password e regole sulla conservazione dei dati che garantiscono l'integrità e la disponibilità continue dei dati.
Gli MSP hanno anche la responsabilità di garantire che tutta l'infrastruttura fisica dell'edificio sia sicura e di applicare politiche come elenchi di controllo degli accessi, monitoraggio della sorveglianza, protezione delle risorse fisiche e deadlock, o anche personale di sicurezza in loco 24 ore su 24, 7 giorni su 7.
I fornitori di servizi cloud offrono sempre più servizi aziendali conformi al GDPR, come il controllo dell'accesso e dell'identità (IAM), i servizi Active Directory protetti, i servizi di gestione delle chiavi dei dati (KMS) e i servizi di federazione dei dati SAML durante il push e il pull dei dati pubblicamente o privatamente.
Un altro elemento chiave del GDPR è l'obbligo imposto agli MSP di elaborazione dati in caso di violazione dei dati. Gli MSP devono essere in grado di provare quando si è verificata una violazione e identificare esattamente a quali informazioni si è avuto accesso o sono state modificate. Gli MSP devono anche informare le autorità competenti per la protezione dei dati e persino le persone interessate dalla violazione. Soprattutto, una violazione deve essere confermata entro 72 ore dalla scoperta.
Gli MSP spesso implementano soluzioni tecniche per garantire la conformità; i servizi antivirus come Trend Micro dispongono di uno strumento chiamato cancellazione remota. Ad esempio, se un laptop contenente dati nell'ambito di applicazione è stato smarrito o rubato, il dispositivo può essere cancellato per proteggere i dati e ridurre il rischio di violazione dei dati. Possono essere implementati anche altri strumenti come il software di analisi delle minacce, che monitora l'accesso non autorizzato di terzi ai sistemi IT, e i firewall di rete. È inoltre essenziale un monitoraggio dettagliato e un'attività di registrazione dei servizi.
Per concludere, il GDPR è ancora una nuovissima legislazione dell'UE che interessa le organizzazioni di tutto il mondo, e così tante organizzazioni stanno ancora lottando per ottenere la conformità al GDPR a causa delle sentenze significativamente complesse e ancora in via di sviluppo ai sensi della nuova legge. Inoltre, i diritti delle persone di visualizzare, modificare ed eliminare i propri dati personali approfondiscono questa complessità. La maggior parte degli MSP sarà tenuta ad aggiornare i propri processi e procedure di trattamento dei dati e ad accettare un modello di responsabilità condivisa con i gestori dei dati. Alla fine, l'UE inizierà ad applicare le sanzioni del GDPR con maggiore regolarità per garantire che il GDPR sia in prima linea nell'agenda di tutte le aziende globali.