Lo stato del GDPR nel 2022: perché così tante org stanno ancora lottando

57

Siamo entusiasti di riportare Transform 2022 di persona il 19 luglio e virtualmente dal 20 al 28 luglio. Unisciti ai leader dell’IA e dei dati per discussioni approfondite ed entusiasmanti opportunità di networking. Registrati oggi!

Oggi ricorre il quarto anniversario del regolamento generale sulla protezione dei dati (GDPR) dell’UE, entrato in vigore originariamente nel maggio 2018, che ha costretto le organizzazioni a ripensare al modo in cui raccolgono e archiviano i dati degli interessati dell’UE.

Il GDPR ha conferito ai consumatori il diritto all’oblio, mentre impone alle imprese private di raccogliere il consenso degli interessati per archiviare i loro dati e prepararsi a rimuovere le loro informazioni su richiesta.

Tuttavia, anche anni dopo l’entrata in vigore della legislazione, molte organizzazioni stanno lottando per mantenere la conformità normativa mentre le autorità di regolamentazione europee si muovono verso azioni di applicazione più rigorose.

Ad esempio, Facebook ha ancora difficoltà a conformarsi al GDPR, con Motherboard che ha recentemente scoperto un documento trapelato che rivela che l’organizzazione non sa dove vanno a finire tutti i suoi dati utente o come vengono elaborati.

Ovviamente la sfida della conformità al GDPR non è esclusiva di Facebook. Infatti, Amazon, WhatsApp e Google hanno dovuto pagare multe di 9 cifre alle autorità europee per la protezione dei dati.

Ma perché così tante organizzazioni non rispettano il regolamento? La risposta è la complessità.

Perché la conformità al GDPR è una battaglia in salita

Il diffuso spostamento delle organizzazioni verso i servizi cloud negli ultimi anni ha aumentato la complessità da tutte le parti. Le organizzazioni utilizzano applicazioni che archiviano ed elaborano i dati dei clienti nel cloud e spesso non hanno la visibilità necessaria per proteggere queste risorse.

“Le aziende hanno lavorato molto per portare i loro sistemi e processi in linea con il GDPR, ma è un esercizio continuo. Allo stesso modo in cui cambiano le normative, cambia anche la tecnologia”, ha affermato Steve Bakewell, amministratore delegato EMEA del fornitore di test di penetrazione NetSPI.

“Ad esempio, la crescente diffusione dei servizi cloud ha portato alla raccolta, all’archiviazione e all’elaborazione nel cloud di più dati, compresi i dati personali”, ha affermato Bakewell.

Con più dati archiviati ed elaborati in ambienti nativi, ibridi e multicloud, le aziende hanno una quantità esponenzialmente maggiore di dati su cui proteggere e mantenere la trasparenza, al di là delle difese perimetrali e della supervisione della rete tradizionale.

Organizzazioni come Facebook che non riescono a stabilire dove risiedono i dati personali in un ambiente cloud o come vengono elaborati inevitabilmente finiscono per violare il regolamento, perché non possono proteggere i dati dei clienti o rimuovere i dati dei soggetti che hanno dato il consenso.

Mantenimento della conformità al GDPR nel 2022 e oltre

Mentre il GDPR impone l’eccellenza nella gestione dei dati nell’era del cloud, ci sono alcune strategie che le organizzazioni possono utilizzare per rendere la conformità più gestibile. Il primo passo per le aziende è identificare dove sono archiviati i dati sensibili, come vengono elaborati e quali controlli o procedure sono necessari per proteggerli o cancellarli, se necessario.

Bakewell raccomanda alle organizzazioni di “comprendere e implementare sia i requisiti di privacy che di sicurezza nei sistemi che gestiscono i dati, quindi testare di conseguenza su tutti i sistemi, on-premise, cloud, tecnologia operativa e persino fisica, per convalidare l’efficacia dei controlli e la corretta gestione dei rischi. ”

Ovviamente identificare il modo in cui i dati vengono utilizzati nell’ambiente è più facile a dirsi che a farsi, in particolare per quanto riguarda i dati di identità con l’umana quantità di identità digitali che le aziende memorizzano in aumento.

“Le organizzazioni hanno diffuso i propri dati di identità su più fonti e questa espansione incontrollata di identità si traduce in fonti di dati sovrapposte, in conflitto o inaccessibili. Quando i dati di identità non vengono gestiti correttamente, diventa impossibile per i team IT creare profili utente accurati e completi”, ha affermato Chad McDonald, capo del personale e CISO presso il fornitore di soluzioni di data fabric Radiant Logic.

Se le organizzazioni non riescono a mantenere i dati di identità accurati e ridotti al minimo, sono a rischio di sanzioni per la non conformità.

Per affrontare questa sfida, McDonald consiglia alle aziende di unificare i diversi dati di identità degli interessati in un unico profilo globale con una soluzione Identity Data Fabric. Ciò consente ai team di sicurezza dei dati di avere una visione più completa dei dati sull’identità degli utenti nell’ambiente e dei controlli in atto per limitare l’accesso degli utenti.

Guardare oltre il GDPR: la prossima ondata di normative sulla protezione dei dati

Uno degli aspetti più impegnativi dell’eredità del GDPR è che ha dato il via a un movimento globale di normative sulla protezione dei dati, con paesi e giurisdizioni in tutto il mondo che implementano i propri mandati sulla privacy dei dati locali e internazionali, che impongono nuovi controlli alle organizzazioni.

Ad esempio, a livello nazionale solo negli Stati Uniti, California, Colorado, Connecticut, Virginia e Utah hanno tutti iniziato a produrre i propri atti sulla privacy o sulla protezione dei dati, il più noto è il California Consumer Privacy Act (CCPA).

Gli Stati Uniti non sono i soli ad implementare nuovi quadri di protezione dei dati né con la Cina che crea la legge sulla protezione delle informazioni personali (PIPL), il Sud Africa che crea la legge sulla protezione delle informazioni personali (POPI) e il Brasile che crea la legge generale sulla protezione dei dati (LGPD).

Con la complessità normativa in aumento da tutte le parti, la conformità al GDPR non è sufficiente per le organizzazioni per evitare violazioni della protezione dei dati; devono essere conformi a tutte le normative a cui sono esposti.

Ad esempio, mentre il GDPR consente il trasferimento di informazioni personali oltre confine purché sia ​​adeguatamente protetto, il PIPL no. Quindi le organizzazioni che operano in Europa e in Cina dovrebbero implementare un unico insieme di controlli che siano compatibili con entrambi.

Allo stesso modo, mentre il GDPR afferma che devi semplicemente avere un motivo legale per raccogliere i dati personali degli interessati dell’UE, il CCPA impone che tu consenta agli utenti di rinunciare alle pratiche di informazione personale.

La scritta sul muro è che le organizzazioni non possono sperare di tenere il passo con questi cambiamenti normativi senza un’efficiente strategia di meta-conformità.

In pratica, ciò significa implementare controlli e politiche progettati per mitigare l’espansione incontrollata delle normative e lavorare per la conformità a più normative contemporaneamente, piuttosto che adottare un approccio regolatore per regolatore alla conformità.

La missione di VentureBeat deve essere una piazza cittadina digitale per i decisori tecnici per acquisire conoscenze sulla tecnologia aziendale trasformativa e le transazioni. Saperne di più sull’appartenenza.