GDPR compliance a rischio: le problematiche più comuni

GDPR

L’editorialista ed analista Alan Zeichick ha affrontato sul portale HP anche il tema della conformità al GDPR, il regolamento UE entrato in vigore lo scorso 25 maggio 2018. Tra le principali novità, e ciò spiega l’interesse suscitato oltreoceano e non solo, l’estensione dei “vincoli” alle aziende con sede all’estero ma operanti sul territorio comunitario.

Alan ha sottolineato come sia abbastanza “semplice” infrangere le precise disposizioni del GDPR ed andare incontro alle sanzioni previste dall’UE – dalla diffida amministrativa fino a multe milionarie o, per le compagnie più grandi, al 4% del fatturato annuale. Vediamo di seguito quali sono gli errori più comuni che possono compromettere la conformità di un’azienda al GDPR.

Le policy adottate non sono conformi al GDPR. Il primo caso è anche quello più problematico in quanto il soggetto interessato non è stato in grado di adeguare le proprie policy al regolamento UE. Il consiglio di Alan è quello di consultare le policy GDPR redatte da una delle tante multinazionali che operano nell’UE, lavorando al contempo con la divisione legale (se presente) dell’azienda.

Le policy adottate sono conformi ma non vengono rispettate. Un’altra situazione ricorrente è quella in cui si è riusciti ad adeguare le policy ma non a rispettarne l’attuazione. In sintesi, quel che l’azienda dichiara nelle rispettive sezioni dedicate al GDPR ed al trattamento dei dati deve corrispondere a verità e/o trovare un effettivo riscontro.

Un provider di terze parti non è conforme al GDPR. E’ abbastanza normale che un’azienda si appoggi a soluzioni di terze parti: l’utilizzo di un servizio di analisi dati o di backup sono un classico esempio di servizi “esterni” che coinvolgono tuttavia la gestione dei dati. E nel caso in cui non siano conformi al GDPR, sebbene sia possibile intraprendere una lezione legale a seguito di un furto dati, le direttive del GDPR “puniranno” anche l’azienda principale – in quanto responsabile di non aver vagliato la conformità dei vendor. Il terzo consiglio è quindi il seguente: stilare una lista delle terze parti che gestiscono i dati dei clienti ed accertarne la GDPR compliance.

Cloud computing e GDPR. Il cloud, come abbiamo visto più volte, è ampiamente utilizzato dalle aziende e gode di un elevato tasso di adozione. In particolare modo per compagnie che operano sia in UE che in altre parti del mondo, ciò aggiunge un ulteriore grado di complessità, afferma l’editorialista. La soluzione CRM che si utilizza è conforme al regolamento? E le VM adoperate dove si trovano? E’ il caso di attuare le opportune verifiche ed affidarsi eventualmente a dei consulenti specializzati.

Dati: dall’archiviazione alla lista delle informazioni raccolte. Per le aziende più grandi e con varie divisioni è facile “perdere” il controllo dei dati archiviati ed andare incontro a situazioni spiacevoli come l’impossibilità di fornire ai clienti informazioni attendibili. Il caso più comune è la presenza di molteplici dati riguardanti lo stesso cliente (es: il database 1 riporta A mentre il database 2 riporta C, qual è l’informazione corretta?). Una questione analoga riguarda il diritto dei clienti di conoscere e visionare quali dati siano stati raccolti e gestiti dall’azienda. Su questo punto, sottolinea Alan, il GDPR è abbastanza vago e, in attesa di chiarimenti, è opportuno mostrare il minimo indispensabile.

Dati: il cliente non può modificare o cancellare i dati in possesso dell’azienda. Il GDPR prevede che l’utente sia in grado di esercitare i diritti menzionati in questo punto ma non tiene conto delle problematiche aziendali. Alan parla ad esempio delle criticità legate al cambio di nome da parte del cliente o la cancellazione di un conto bancario fornito per il pagamento di un servizio. Come riorganizzare in modo efficiente i dati dell’utente, ad esempio lo storico degli acquisti, quando quest’ultimo modifica all’improvviso una o più credenziali?

Difficoltà nell’accertamento dell’identità dei clienti. Punto che si ricollega all’archiviazione e consultazione efficiente dei dati ed alla loro modifica/cancellazione Una problematica comune può essere quella di ricevere una richiesta da parte di un cliente di cui però non si è in grado di accertare l’identità. Che la procedura sia effettuata via email, telefono o visita del diretto interessato, afferma l’editorialista, dovrà comunque essere svolta in piena conformità con il GDPR.

Portali per la consultazione dei dati vulnerabili e tempi di reazione. Il GDPR stabilisce che le aziende sono responsabili della sicurezza dei dati e devono rispondere di eventuali furti di dati – hanno inoltre 72 ore per informare dell’accaduto clienti ed autorità competenti. In caso di data breach, l’applicazione delle sanzioni GDPR è inevitabile per l’azienda interessata. Il consiglio è quello di verificare periodicamente la sicurezza dei portali messi a disposizione degli utenti (per la consultazione dei dati in possesso della compagnia) e di disporre di strumenti in grado di rivelare nel minor tempo possibile eventuali “fughe di dati”.

Fonte: 1