In un bellissimo articolo apparso qualche giorno fa su helpnetsecurity.com, Gary Chitan afferma che nel Regno Unito molte organizzazioni si stanno accorgendo che la protezione dei dati personali non si esaurisce in un progetto di adeguamento al GDPR da fare una volta per tutte. Quindi, i conseguenti investimenti, sebbene di notevole entità in fase di start‑up, devono continuare in maniera significativa anche negli anni successivi.
Per fortuna, quindi, qualcuno comincia a capire il vero spirito del GDPR. Succederà anche in Italia, prima o poi. Nel frattempo, è utile riassumere i cinque elementi che Chitan ritiene fondamentali per ogni organizzazione che intenda seriamente proteggere i dati personali:
- investire nella giusta tecnologia; oggi non ci si può più affidare ai fogli elettronici ma è opportuno che i meccanismi di riduzione del rischio siano basati su sistemi di intelligenza artificiale che riescano ad analizzare milioni di comportamenti sospetti ed a neutralizzarli;
- governare i trattamenti di dati personali effettuati manualmente; in ogni organizzazione ci sono trattamenti basati ancora su documenti cartacei e che costituiscono l’anello debole nella catena di protezione; per questi trattamenti, bisogna investire in consapevolezza degli addetti;
- comprendere a fondo l’albero genealogico di ogni dato; questo per garantire che i trattamenti dei dati ascendenti e discendenti rispettino i principi dell’art. 5 del GDPR e siano conformi alle previsioni degli artt. 6, 9 e 10 del GDPR;
- privilegiare la qualità dei dati rispetto alla quantità;
- trattenere solo i dati che possono creare valore per l’organizzazione senza lasciarsi andare al solito ritornello “questo dato mi può servire domani”.
Buoni consigli per chi vuol intendere.