Compliance aziendale, la guida pratica per evitare guai tra cloud, gdpr e ripartenza
Andiamo come sempre con ordine. Stiamo tutti pensando a come e da dove ripartire. Stiamo tuti cercando una strada più veloce proprio nel digitale, nella potenza e nella flessibilità delle nuvole. Una ricerca, un’ansia da prestazione che, spesso, rischia di portare manager e aziende a fare pericolose fughe in avanti che, soprattutto in questa fase, rischiano di prestare il fianco a rischi enormi sia a livello di sicurezza sia, soprattutto, a livello di controlli da parte del garante in materia di compliance con GDPR e privacy.
La gestione della Fase 2 comporterà infatti un check necessario della compliance aziendale relativa al trattamento dei dati personali dei dipendenti. Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo 2020 è molto chiaro: attenzione ad agire nel rispetto del GPDR.
Per questo tutti i processi previsti dal protocollo sono stati ideati con un occhio particolare al GDPR e, dunque, richiedono un’opportuna verifica della compliance aziendale. Le criticità sono evidenti: è chiaro che l’azienda rischia di entrare in possesso o di veder circolare informazioni sanitarie che riguardano il singolo individuo. Ed essendo informazioni sensibili, devono essere tutelate e protette nel modo migliore possibile.
Dove si memorizzano le comunicazioni dipendenti-azienda in cui si tratta la questione Covid-19? Sono in un luogo sicuro? Per esempio, dove va a finire la mail in cui un dipendente dichiara il proprio stato di salute? Siamo certi che l’informazione riservata non circoli all’interno dell’azienda? Ancora, è ben chiaro che la temperatura corporea rilevata all’ingresso dell’azienda non può in nessun modo essere memorizzata, neanche temporaneamente? Di esempi di questo tipo è pieno il protocollo in questione.
Insomma, un duro lavoro aspetta il Responsabile della Protezione dei Dati. L’adeguamento della compliance aziendale richiede un’analisi attenta di come, dove e per quanto vengono memorizzate le informazioni sensibili relative ai dipendenti.
Dunque, il Responsabile della Protezione dei Dati può giurare di dormire sonni tranquilli? È certo del rispetto della compliance aziendale anche e soprattutto nel caso in cui le informazioni viaggino su cloud?
È abbastanza chiaro, dunque, che l’asset It da tenere sotto controllo è il cloud, pubblico, ibrido o privato che sia. È nel cloud che le informazioni viaggiano da e verso i dispositivi aziendali ed è nel cloud che vengono archiviate. L’adeguamento della compliance aziendale alle indicazioni del protocollo che gestisce la Fase 2 non può escludere l’infrastruttura cloud.
Diventa necessario, allora, eseguire insieme al Cloud Provider o ai suoi partner tutte le verifiche relative, riprendere i contratti di fornitura e accertarsi che il transito dei dati da e verso il cloud sia effettivamente GDPR compliant. Meglio avere la certezza di sapere dove siano fisicamente archiviati i dati e il Paese di residenza dei data center, soprattutto in caso di utilizzo di cloud pubbliche o ibride.
E, ultimo ma non ultimo, diventa fondamentale accertarsi che il cloud con cui si opera sia protetto dalle tecnologie più moderne. Tutte queste accortezze possono sembrare ovvie ma spesso non lo sono. E accorgersene troppo tardi ha un prezzo salatissimo, in termini economici e di reputazione.
In definitiva, oggi più che mai, la ripartenza nella Fase 2 dell’emergenza Covid-19 deve essere particolarmente attenta. Molte aziende tenderanno a sottovalutare l’aspetto della compliance o, semplicemente, si accorgeranno di doverla ottemperare quando è già troppo tardi.
Per i partner Reevo, essere al fianco delle aziende clienti in questo delicato momento diventa così un atto di forte responsabilità. Sia che ci si trovi a gestire una fase di transizione verso il cloud, sia che si debba svolgere un assessment della compliance a un cloud preesistente, la Fase 2 rappresenta per l’intero ecosistema Reevo una ulteriore opportunità di fornire un servizio adeguato e di valore.
Reevo Cloud ha infatti da tempo scommesso con decisioe proprio sulla compliance a la sicurezza ceryifcata dei suoi servizi cloud, ecco dunque una guida pratica che i partner possono segurie, passo paso, per accompagnare i clienti verso una fase 2 senza brutte sorprese… tra le nuvole.
Mole aziende associano ancora oggi l’idea del data breach solo ad attacchi hacker o mega cyber minacce. In realtà questa è un’idea sbagliata e dannosa perché il data breach avviene anche in caso di mancata conservazione adeguata dei dati. Infatti, tra i capisaldi del GDPR c’è proprio la conservazione del dato in maniera efficace e sicura. Un primo importante passo da conoscere, con grande attenzione perché attiene alle responsabilità del cliente e del partner
Il Gdpr tutela il cliente perché i dati adesso vengono garantiti dall’inizio alla fine e anche dopo la fine del rapporto con il fornitore di servizi cloud. Importante è però che il cliente firmi una liberatoria in cui offre la possibilità al fornitore, dunque a Reevo Cloud, di gestire i suoi dati personali. Ovviamente ci deve essere alla base un rapporto di fiducia molto solido con il proprio partner ed è qui che entra in gioco proprio la capacità di costruire rapporti basati sulla fiducia. Una di fiducia che si costruisce con relazioni e competenze concrete
Il rapporto cliente/fornitore, nella logica del GDPR, va anche oltre la fine del contratto. Non a caso uno dei punti principali del GDPR è proprio il diritto all’Oblio, ovvero il diritto alla cancellazione sicura ed efficace dei proprio dati critici una volta chiuso il rapporto di fornitura di servizi con relative condivisioni di informazioni. Reevo ha sviluppato da tempo procedure dedicate e molto particolari per lo “smaltimento” dei dati relativi al cliente che ha chiuso con noi un rapporto di servizio. Un passaggio che, in questa fase di delicata e spesso confusa ripartenza va conosciuto e analizzato, insieme, con grande attenzione
Durante tutta la durata del contratto è fondamentale, per il GDPR, che il cliente abbia facoltà e trasparenza di poter chiedere un accesso ai dati soprattutto se lo stesso cliente è sotto audit. Reevo Cloud fornisce questo servizio e aiutia il cliente in caso di necessità.
