Il regolamento Generale sulla protezione dei dati è un regolamento che entrerà in vigore, in tutti i paesi membri dell'UE, dal 25 maggio 2018 e obbliga le aziende che trattano dati di cittadini europei (indipendentemente dalla sede geografica aziendale) a trattare tali dati personali secondo determinate regole. Per dati sensibili si intende tutto quell'insieme di informazioni collegate alla vita sia privata che pubblica (nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer).

Il GDPR vuole far sì che, in questo clima di continue preoccupazioni riguardanti la privacy, le aziende prendano conoscienza di quanto importante e primario deve essere garantire la sicurezza dei dati dei propri clienti. questo concetto è detto Privacy by Design e riguarda il principio di pianificazione dei processi di tutela della privacy sin dalla progettazione iniziale di un processo aziendale, utilizzando le applicazioni informatiche di supporto necessarie. Questo tipo di pianificazione assicurerà che vengano processati soltanto i dati realmente indispensabili per l'attività e che i medesimi siano trattati solamente dagli aventi diritto.

Uno dei punti su cui preme il GDPR riguarda le notifiche di violazione dei dati: queste sono infatti obbligatorie in caso di effettiva violazione dei diritti. L'azienda ha 48-72 ore per effettuare la notifica dal momento in cui si rende conto che c'è stata una violazione e gli stessi clienti interessati sono tenuti ad esserne informati. Anche per questo, ma non solo, dovrà essere istituita una nuova figura all'interno dell'azienda: il Data Protection Officer (DPO), con l'incombenza di sorvegliare e organizzare la gestione del trattamento dei dati personali, assicurandosi che essi siano trattati nel rispetto delle normative vigenti.

Il regolamento mette in evidenza anche la necessità di rendere "intellegibili e facilmente accessibili" le richieste sottoposte all'utente nel momento in cui si sta chiedendo il consenso al trattamento dei dati, chiarendo sin da subito qual è lo scopo di tale raccolta. In parole povere, la richiesta di consenso deve essere sempre esposta in maniera esplicita e l'azienda deve sempre essere in grado di provare l'accettazione di questo consenso. Dovranno inoltre essere garantiti, a chi sottoscrive tale autorizzazione, il diritto alla cancellazione dei propri dati personali, la possibilità di modifica e l'eventualità di richiedere sempre informazioni in merito al tipo di trattamento previsto. Deve inoltre essere sempre possibile contestare le decisioni automatizzate dai sistemi; nemmeno la profilazione è esente da tale diritto. A completare il quadro, il cliente dovrebbe avere consapevolezza su come vengono utilizzati e conservati i suoi dati sensibili e deve poterne richiedere l'esportazione in qualsiasi momento.

Il GDPR prevede delle sanzioni piuttosto severe in caso di inosservanza del regolamento: le multe possono andare dal 4% del fatturato aziendale fino a 20 milioni di euro (dipende da quale dei due importi è il più alto).

Dal punto di vista operativo bisognerà iniziare il processo di adattamento al regolamento dall'adeguamento delle proprie strutture informatiche interne: i prodotti installati sui propri computer dovranno essere sempre aggiornati e vanno abbandonati tutti quei programmi e sistemi operativi non coperti dalla garanzia e dal supporto del produttore (abbiamo trattato l'argomento in una nostra news). Questo non vale solo per l'infrastruttura aziendale, ma anche per qualsiasi dispositivo utilizzato. Come detto in precedenza, bisognerà basare il proprio lavoro focalizzandosi sulla sicurezza dei dati sensibili dei propri clienti: per questo bisogna sapersi difendere sia dagli attacchi più comuni, come ad esempio SQL injection (una tecnica di code injection, usata per attaccare applicazioni di gestione dati, con la quale vengono inserite delle stringhe di codice SQL malevole all'interno di campi di input in modo che queste ultime vengano poi eseguite) e XSS (una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form), che dagli attacchi più avanzati, magari avvalendosi di software sentinella o simili, per intercettare eventuali attacchi dall’esterno e/o debolezze e falle del proprio sistema.

Grazie all'utilizzo di soluzioni protettive efficaci le aziende che trattano dati sensibili possono proteggere i propri utenti ed i loro dati, tenendo questi sempre al sicuro, senza rischio di perdita o violazione.