Al giorno d’oggi, quando si parla di GDPR, si pensa alla normativa europea e alla relativa compliance. Tale compliance è la verifica dei processi di gestione dei dati, del sistema informativo che li gestisce e la creazione della relativa documentazione. Per redigere tale documentazione è necessario adottare un modello simile a quello indicato nello schema in figura.
Il GDPR e l’informatica
Il GDPR viene spesso percepito come un processo descrittivo che genera la documentazione atta al solo scopo di tutelarsi da un punto di vista legale. Occorre ricordare che la normativa GDPR prevede anche che il sistema informatico venga mantenuto grazie a tutte le misure tecniche utili e necessarie a evitare possibili Data Breach, ovvero violazioni dei dati personali. In generale si parla di incidenti informatici: violazioni di sicurezza che comportano la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali e particolari trasmessi, conservati o comunque trattati. Alcuni esempi di incidenti informatici possono essere: la perdita di dati per mancanza di backup, la non disponibilità dei dati per mancanza di erogazione del servizio o il furto di dati. In caso di ispezione da parte del Garante della Privacy oppure in caso di richiesta di esibizione da parte dei titolari del dato, si deve essere in grado di dimostrare l’effettivo flusso di dati gestiti e le misure adottate per limitare gli incidenti informatici.
GDPR e i dati personali
La normativa GDPR ha come obiettivo proprio il rafforzamento della protezione dei dati personali dei cittadini, ed è giusto quindi che si sensibilizzino le imprese a prendere misure migliori per tutelare la sicurezza delle infrastrutture e dei sistemi software che interagiscono con i dati.
Si è quindi creato un gap fra il processo descrittivo-normativo e il processo informatico-infrastrutturale, che sono strettamente legati.
La soluzione
Sidneo propone come soluzione GDPR Vision, un servizio in grado di analizzare lo stato dell’infrastruttura informatica e di aiutare Privacy Manager e IT a capire quali misure adottare. Si pone come strumento di ausilio alla fase di revisione periodica, in quanto tecnologie e software mutano nel tempo, così come i dati aziendali. Mediante un sistema di analisi continuo, Sidneo vuole semplificare tutte le fasi di studio dei dati e delle infrastrutture prettamente informatiche. Utilizzando quindi il servizio Vision si è in grado di prendere decisioni migliori per quanto riguarda l’analisi dei rischi e l’adozione delle misure tecniche e organizzative.
GDPR Vision
Inoltre, tramite gli strumenti di supervisione ed analisi delle macchine, risulta più semplice riuscire a ricreare lo scenario per un eventuale Data Breach occorso. Infatti quando avviene una violazione dei dati personali e si presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento ha l’obbligo di comunicare la violazione all’interessato e al Garante della Privacy. Vision inoltre aiuta a indirizzare le attività di IRT (ovvero “Incident Response Team”, la struttura dedicata all’analisi dei sistemi oggetto di compromissione e alla ricerca delle modalità utilizzate dagli attaccanti per realizzare l’attacco), permettendo di circoscrivere quindi la superficie realmente attaccata e i dati interessati. Qualora si disponga di strumenti come Vision, si consente di agire e reagire in tempi molto più rapidi.
