Reading Time: 6 minutes

Esattamente il 25 Maggio 2018, entrerà in vigore il nuovo Regolamento Generale sulla Protezione dei dati, meglio noto con l’acronimo “GDPR – General Data Protection Regulation”, una normativa di cui ultimamente si sta sentendo parlare molto e approvata dal Parlamento Europeo nell’Aprile 2016. L’obiettivo è quello di armonizzare le leggi sulla riservatezza delle informazioni e sulla privacy di tutti i Paesi Europei e tenere al sicuro i dati sensibili degli utenti processati dalle aziende.

Oggi vogliamo parlarvi di come Elastic Stack possa fornire un supporto per la risoluzione delle problematiche imposte da questa nuova regolamentazione, garantendone la piena conformità.

Ma andiamo per gradi, e analizziamo prima nel dettaglio la nuova normativa.

 

  • Che cos’è la GDPR – General Data Protection Regulation

    GDPR è un nuovo regolamento che sostituisce le precedenti direttive europee e britanniche inerenti alla protezione del dato ed è nato per venire incontro alla crescente necessità, per ogni cittadino residente in Europa, di proteggere i propri dati personali. GDPR apporta alcune novità significative su:

    – Gestione Dati Personali
    – Comunicazione delle violazioni
    – Sanzioni penali e amministrative

    Applica inoltre nuove direttive riguardo alle modalità di gestione dei dati personali, alle regole su come le violazioni debbano essere comunicate e alle penali, molto più significative in caso di mancata attuazione della normativa.

 

  • A chi si rivolge la GDPR 

    Devono adottare GDPR le aziende:

    • Europee (GB inclusa al momento)

    • Multinazionali con presenza sul mercato EU

    • Non presenti sul mercato europeo ma che interagiscono con soggetti EU e ne gestiscono i dati personali.

    Non devono adottare GDP:

     

    • Aziende che non sono presenti nel mercato EU e che non gestiscono dati personali di soggetti EU.

  • Gestione delle violazioni e sanzioni

    Le regole per la gestione di casi di violazione dei dati in GDPR sono chiari: le organizzazioni devono informare le autorità locali per la protezione del dati entro 72 ore dalla scoperta della della violazione. Una delle novità introdotte dalla GDPR è legata al modo in cui il mancato adempimento viene punito, sicuramente la severità delle sanzioni non deve essere trascurata. Le multe per chi non adempie agli obblighi della GDPR arrivano fino al 4% del fatturato oppure 20 milioni di euro.

Diagramma semplificato del trattamento dati in ottemperanza a GDPR
diagramma trattamento dati GDPR

La gestione dei dati personali sotto GDPR: un processo a tre fasi

Ora che abbiamo chiarito gli aspetti essenziali legati alla normativa, osserviamo quali azioni intraprendere per una perfetta conformità alle direttive:

  1. Prima fase: Preparazione alla processazione dei dati personali: in questa fase si procede a mappare con precisione tutti i flussi all’interno della organizzazione che controllano o processano dati personali. Per ogni flusso di dati dovrà essere identificato con chiarezza il ruolo dell’organizzazione in riferimento a tali dati. Verrà in seguito determinato il livello di pericolosità legato all’eventuale perdita dei dati.
  2. Seconda Fase: Applicazione della protezione dei dati personali: in questa fase viene implementato un livello di protezione dei dati commisurato al rischio di eventuale perdita. Vengono controllate tutte le modalità di anonimizzazione, e se non disponibili, applicate mediante criptazione o pseudonimizzazione. Devono essere inoltre necessariamente predisposti appropriati sistemi di controllo in tempo reale al fine di identificare accessi non autorizzati ed eventuali minacce alla infrastruttura e alle applicazioni coinvolte nelle attività di elaborazione di dati personali.
  3. Applicazione dei principi di Privacy Policy: In questo step vengono definiti e implementati una serie di procedure interne ed esterne che consentiranno di adempiere ai requisiti della GDPR inerenti alla salvaguardia dei diritti dell’Interessato al Trattamento e il controllo dei dati trasferiti.

Quali funzionalità dello Stack Elastic possono aiutare ad adempiere ai requisiti di GDPR

schema utilizzo stack elastic per GDPR
In questo diagramma possiamo osservare sinteticamente su quali aspetti della normativa GDPR è possibile utilizzare le funzionalità di Elastic Stack.

 

 

Data preparation

Lo stack elastic può essere utilizzato per approcciare la GDPR nei seguenti step:

  • Data Flow Mapping: le straordinarie capacità di ES possono essere sfruttate in fase di Ingestion e ricerca. Effettuando un backup dei dati sarà possibile interrogare indici dei dati personali con estrema facilità.
  • Personal Data Retention Planning: le organizzazioni che adottano GDPR devono cancellare i dati personali quando non sono più necessari. La retention dei dati personali in elasticsearch può essere facilmente gestita tramite la gestione dell’indice. Elasticsearch supporta indici time-based che possono essere cancellati al termine del periodo di retention.
  • Vendor and Subprocessor Review: Oggi la catena di approvvigionamento può estendersi e includere centinaia o miglia di fornitori. Con GDPR è potenzialmente necessario un accordo sulle modalità di processamento del dato (DPA) per ognuno di essi, la possibilità di indicizzare ed effettuare ricerca full-text istantaneamente all’interno di migliaia di DPA può facilitare la gestione di migliaia di fornitori.

Data Protection

In questa fase ci sono due scenari in cui lo stack Elastic può essere utilizzato:

  • Mettere in sicurezza Elastic qualora venga usato quale datastore per i dati personali.
  • Essere di ausilio nella adozione delle misure di sicurezza agendo come una piattaforma centralizzata per i log di sicurezza e le analisi quando i dati personali sono immagazzinati in altre piattaforme.

Effettuando il deploy su sistemi sicuri, la versione 6 dello Stack Elastic configurata con la estensione commerciale X-Pack può essere usata all’interno dei seguenti requisiti di sicurezza nelle seguenti fasi:

  • Cryptography & Pseudonymization
  • Controllo degli accessi
  • Logging e Auditing
  • Monitoraggio e anomaly detection
  • Disaster Recovery

Privacy

Maintaining Data Subject Rights: Nel momento in cui un Interessato al Trattamento esercita il suo diritto alla cancellazione o ritira il suo consenso che consente la raccolta dei suoi dati personali, occorre ritrovare tutti i dati oggetto della richiesta. Elasticsearch può consentire un identificazione veloce dei dati richiesti in tabelle, query, report o applicazioni. Funzionalità tipiche di Elasticsearch di aggiornamento e cancellazione consentono al team di intraprendere le azioni più corrette per soddisfare i dettami della GDPR.

Contatta Seacom

Vuoi rimanere aggiornato su tutte novità Elastic o richiedere una consulenza a Seacom?
Visita la pagina dedicata, oppure