Il Regolamento UE 2016/679, l’ormai noto GDPR (General Data Protection Regulation) è stato approvato nell’aprile 2016 e prevedeva 2 anni per implementare i cambiamenti necessari a garantire la conformità. E dunque sarà pienamente applicabile dal 25 maggio 2018. Il fine del legislatore è stato quello di regolare a livello europeo la privacy e la protezione dei dati personali, armonizzando nuovi standard in materia di compliance e sicurezza mediante una serie di novità che includono nuovi obblighi per le aziende e la creazione di figure di garanzia (in primis il Responsabile della protezione dei dati, o Data Protection Officer, nei casi in cui è obbligatorio).
In generale, si tratta di una normativa che riguarda l’intero processo di innovazione aziendale. Da maggio 2018 in avanti infatti Data Protection by design e Data Protection impact assessment costituiscono il filtro attraverso cui ogni nuovo servizio deve passare, rappresentando cioè lo strumento di governo della Digital transformation per quanto attiene il rispetto delle libertà e dei diritti delle persone nell’era digitale.
Il ruolo della tecnologia per essere compliant alla normativa
Nel percorso di adeguamento al Regolamento europeo la tecnologia IT è coinvolta in diversi ambiti, a partire dallo svolgere il fondamentale compito di offrire visibilità di dove sono i dati, seguendoli poi nei loro processi di trattamento a seconda delle necessità di business.
D’altra parte, tecnologie di anonimizzazione studiate appositamente per mascherare i dati consentono di utilizzare comunque le informazioni, per esempio per ambienti di test e di sviluppo, riducendo di circa il 50% i dati soggetti al Regolamento.
È poi molto utile la crittografia che consente, nel caso si verifichi una violazione, di dover dare comunicazione solo al Garante (mentre quando si ha compromissione di dati in chiaro scatta l’obbligo di segnalarlo agli interessati). A questo proposito esistono varie tecniche, quali l’offuscamento, la tokenizzazione e così via.
Quando invece è inevitabile l’utilizzo dei dati “veri” è sicuramente importante l’utilizzo di sistemi di controllo delle identità, soluzioni per il monitoraggio eccetera.
Un solido piano di disaster recovery garantisce infine quelle disponibilità e integrità delle informazioni che sono richieste negli articoli 25 e 82 della normativa.
Il contributo di AWS a supporto della conformità al regolamento dei propri clienti
Il tema GDPR sarà affrontato anche in occasione della terza edizione di AWS Summit Milano, l’evento che si terrà al Mi-Co – Milano Congressi il prossimo 27 marzo e che farà il punto sulle novità dell’azienda proponendo momenti divulgativi (articolati in 6 tracce tematiche: Architecture & DevOps, migrazione al Cloud, protezione e gestione dei dati, machine learning, Industry 4.0 e Innovazione) e occasioni di formazione per partner e clienti.
Nello specifico, all’interno della traccia Data Protection & Management, si terrà un incontro specifico dal titolo “Navigating GDPR Compliance on AWS”. In tale occasione, saranno descritte le soluzioni portate da AWS ai propri clienti per aiutarli nei loro programmi di adeguamento al GDPR.
Inoltre i servizi AWS saranno conformi al GDPR quando diventerà applicabile il 25 maggio, AWS offre oltre 500 funzionalità e servizi focalizzati su sicurezza e compliance.