L’anno scorso esattamente di questi tempi incombeva l’entrata in vigore del GDPR, il nuovo Regolamento Europeo per la protezione dei dati personali, fissata per il 25 maggio 2018. Oggi le acque si sono calmate, convegni e articoli sul tema sono quasi scomparsi, eppure le moltissime imprese alle prese con la gestione quotidiana del GDPR non possono abbassare la guardia.

In questi giorni infatti sono scaduti gli 8 mesi di “ragionevolezza” previsti dal D.L. 101/2018, il decreto che ha localizzato per l’Italia il GDPR, per le verifiche sul rispetto del Regolamento. Dal 19 maggio, ha detto il presidente dell’Autorità Garante, Antonello Soro, in un’intervista al Sole 24 Ore, è prevista una sistematica attività di ispezioni con la Guardia di Finanza, a partire dai grandi numeri e dai settori più importanti: “Nel pubblico, per esempio, si controllerà come sta funzionando Spid e le grandi banche dati, nel privato i grandi istituti di credito, chi fa profilazione con sistemi di fidelizzazione su larga scala, chi tratta i dati sulla salute”.

Solo il 23% delle imprese italiane è compliant

Ma a che punto siamo in Italia nel recepimento del GDPR? Secondo il bilancio a fine 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano, il 23% delle imprese italiane è conforme al GDPR, mentre il 59% ha ancora in corso progetti di adeguamento. L’88% ha un budget per l’adeguamento, il 67% ne ha uno anche per le attività di mantenimento (audit periodici, revisione del registro dei trattamenti, aggiornamento di procedure e tecnologie).

Insomma, un quadro in miglioramento, ma non ottimale, in cui la maggioranza delle aziende italiane non è ancora conforme, e probabilmente anche alcune tra quelle “compliant” hanno fatto un adeguamento sommario, senza sfruttarne le opportunità di miglioramento di sistemi e processi.

Sempre secondo il Politecnico, le difficoltà più diffuse nell’adeguamento al GDPR riguardano la raccolta e mappatura dei dati personali, la poca sensibilizzazione dei dipendenti aziendali sul tema, la scarsa sponsorizzazione del top management, le difficoltà di comprensione della norma, la mancanza di competenze sul tema, l’inadeguatezza del budget e l’inefficacia delle soluzioni tecnologiche.

GDPR, il cloud come supporto continuativo

Mentre tutte le criticità precedenti sono organizzative – e d’altra parte l’adeguamento al GDPR è un impegno in gran parte organizzativo – l’ultimo punto riguarda appunto le soluzioni tecnologiche, che possono essere decisive nel “mantenimento” della conformità. Il GDPR non nomina esplicitamente le soluzioni software e digitali come strumenti di gestione quotidiana delle sue direttive, ma parla genericamente di “misure tecniche”, soprattutto nell’art. 32 (“Sicurezza del trattamento”) e nell’art. 5 (“Principi applicabili al trattamento di dati personali”).

Molto in sintesi l’articolo 5 dice che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e sempre garantendo un’adeguata sicurezza. Inoltre devono essere adeguati, pertinenti, esatti, aggiornati, e limitati allo stretto necessario rispetto alle finalità del trattamento. Che a loro volta devono essere determinate, esplicite e legittime.

L’articolo 32 invece impone all’azienda di mettere in atto una serie di misure tecniche – di cui parleremo nel dettaglio più avanti – per garantire un livello di sicurezza adeguato al rischio, richiede una procedura per verificare e valutare regolarmente l’efficacia di tali misure, e chiede particolare attenzione ai rischi di distruzione, perdita, modifica, divulgazione non autorizzata dei dati trattati.

Il problema quindi per l’azienda è fare in modo che i propri sistemi informativi adempiano a queste direttive. Oppure – se sostituisce in tutto o in parte i sistemi interni con servizi cloud – assicurarsi che l’infrastruttura del cloud provider garantisca la propria “GDPR compliance”.

Dagli articoli di legge alle soluzioni tecniche: le sfide dell’articolo 5…

Aruba è uno dei principali cloud provider in Italia, e ovviamente ha predisposto la sua infrastruttura per fornire questa garanzia. Un esempio è l’adempimento dell’art. 5 del GDPR, e in particolare del comma f, che richiede che i dati personali siano trattati in modo da garantire un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati e dalla perdita, distruzione o danno accidentale.

Contro questi rischi i servizi di Aruba comprendono il backup giornaliero, mentre nel servizio Email tutti i protocolli di comunicazione in entrata e uscita sono sicuri, quindi la trasmissione avviene sempre in maniera crittografata. Inoltre il servizio Cloud Backup protegge il dato mediante cifratura AES con possibilità di cifratura con AES-256, e il servizio di archiviazione Cloud Object Storage controlla l’accesso nello strato di back-end non connesso alla rete pubblica.

… e quelle dell’articolo 32

Molto più articolati sono i requisiti dell’art. 32 del GDPR. La capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento (comma 1, par. b) in Aruba è garantita dalla ridondanza dell’hardware (anche a livello di singolo server) del servizio Email, da quella di rete del servizio Cloud VPS, da quella dello storage in Cloud PRO (su disco SSD) e in Private Cloud (in data center diversi nello stesso Paese o in Paesi diversi), e dalla doppia replica dei dati nel servizio Cloud Object Storage.

Quanto alla capacità di ripristinare tempestivamente la disponibilità e accesso dei dati personali in caso di incidente fisico o tecnico (comma 1, par. c), Aruba la garantisce in Cloud VPS con lo snapshot del server virtuale (creazione di copie della macchina virtuale in un dato punto temporale), con la sonda di monitoraggio dei servizi inclusa in Cloud PRO, con il passaggio del workload di produzione nel sito di disaster recovery in pochi secondi nel servizio Disaster Recovery as a Service, e nel servizio di Business Continuity con collegamenti ridondati in fibra ottica tra i data center proprietari in Italia e interconnessioni multiple tra i data center europei.

Fondamentale poi la procedura richiesta dal GDPR (comma 1, par. d) per testare e valutare regolarmente l’efficacia delle misure tecniche precedenti. Per questo Aruba propone il monitoraggio continuo antimalware del servizio Hosting, e la possibilità di lanciare test “live” per il disaster recovery nel servizio DRaaS (Disaster Recovery as a Service).

Per aziende più grandi, con infrastrutture complesse, la divisione Aruba Enterprise può studiare con il cliente le migliori soluzioni di Disaster Recovery e Business Continuity, e per le aziende del Centro Sud sarà presto possibile creare infrastrutture di disaster recovery con il sito primario sul nuovo data center in costruzione a Roma.

Infine il comma 2 dell’art. 32 impone particolare attenzione ai rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso accidentale o illegale, a dati personali trattati. Le risposte di Aruba sono il certificato SSL del servizio Hosting, l’autenticazione a due fattori per accedere al pannello di controllo di Cloud VPS, la cifratura sul canale di amministrazione in Private Cloud, la trasmissione cifrata SSL in Cloud Backup, l’accesso ai dati su protocollo HTTPS/FTPS in Cloud Object Storage, e le procedure di ripristino personalizzate, in base al livello di servizio richiesto e ai rischi del trattamento, nel servizio di Business Continuity.

La risposta ai principi ispiratori del GDPR

A tutto questo poi Aruba aggiunge caratteristiche generali della sua infrastruttura che rispondono ai principi ispiratori del GDPR, al di là degli articoli specifici. I dati amministrativi e anagrafici del cliente sono gestiti interamente in Italia. I servizi email, hosting e PEC sono gestiti esclusivamente nei data center italiani di proprietà del vendor, certificati Rating 4 secondo ANSI/TIA 942, mentre i servizi cloud possono essere ospitati anche in data center europei di Aruba, ma solo per esplicita scelta del cliente. In ogni caso, la normativa di riferimento è quella europea. Infine il fornitore porta in dote le certificazioni  ISO 27001, ISO 9001, ISO 14001, ANSI/TIA 942, oltre che la conformità al codice di condotta CISPE.

Ulteriori informazioni sulle soluzioni Aruba per la compliance GDPR sono disponibili sul sito di Aruba.