Prepararsi a come il GDPR può essere positivo per le aziende

Privacy e protezione dei dati non sono solo parole d'ordine. Sono serie preoccupazioni dei consumatori che sono guidate da un numero crescente di violazioni dei dati e minacce alla sicurezza informatica, che quindi compromettono le informazioni personali dei consumatori ed erodono la fiducia dei consumatori.

Secondo il Data Privacy and Security Survey di RSA, che ha intervistato 7.500 persone in cinque paesi, i consumatori riferiscono di prestare maggiore attenzione alle violazioni della sicurezza online. E tengono le società responsabili quando le loro informazioni vengono rubate.

Ecco due risultati chiave di quel sondaggio:

• Il 73% degli intervistati è più consapevole delle violazioni dei dati rispetto a cinque anni fa.
• Il 62% ha affermato che avrebbe incolpato l'azienda che ha perso i propri dati prima di incolpare gli hacker.

In generale, i consumatori stanno dimostrando di essere più protettivi nei confronti della loro privacy digitale. Ricorda, una violazione dei dati dei consumatori non deve comportare un furto premeditato o una violazione di massa di informazioni private. Quando una terza parte acquista l'elenco di abbonati e-mail di un'azienda e poi invia e-mail non richieste a tale elenco, ciò può anche costituire una violazione dei dati.

Nessuna di queste attività si adatta bene ai consumatori e questi sentimenti dei consumatori stanno costringendo le aziende a ripensare al modo in cui proteggono i dati dei consumatori online.

Questi sentimenti stanno anche costringendo i governi ad adottare un approccio più attivo nella regolamentazione della protezione delle informazioni dei consumatori. Alcuni governi stanno iniziando a emanare leggi che danno ai consumatori una maggiore proprietà dei propri dati, indipendentemente da chi li archivia.

Uno di questi regolamenti è il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR), che entrerà in vigore il 25 maggio 2018. Questo standard di protezione dei dati, progettato per consentire ai consumatori di concedere o negare il consenso riguardo a chi può accedere ai propri dati, presenta serie sfide per le aziende di commercio elettronico.

Ma è una sfida che le aziende dovrebbero cogliere come un'opportunità per stringere migliori relazioni con i consumatori.

Se i consumatori hanno maggiori probabilità di incolpare un'azienda per le violazioni dei dati, potrebbero anche essere più propensi a lodare un'azienda che lavora con loro per proteggere i loro dati. Pertanto, le organizzazioni farebbero bene a dimostrare di voler proteggere i propri consumatori lavorando rapidamente per la conformità al GDPR.

L'ambito di applicazione del GDPR

Il regolamento generale sulla protezione dei dati standardizza le leggi sulla protezione dei dati in tutti i 28 stati membri dell'Unione Europea. L'obiettivo principale del regolamento è creare una protezione più coerente dei dati dei consumatori in tutte le nazioni dell'UE.

Il GDPR è un regolamento molto completo, contenente più di 200 pagine e più di 90 articoli. Nate Lord di Digital Guardian individua alcuni dei requisiti chiave del GDPR che avranno un impatto significativo sulle aziende:

• Consenso al trattamento dei dati
• Dati anonimi e trasparenti
• Notifiche di violazione dei dati
• Diritto alla cancellazione
• Responsabili della protezione dei dati
• Sanzioni per inadempienza

Come osserva MarTech Today, al suo interno le protezioni GDPR impongono processi e comunicazioni chiari e concisi, che vengono eseguiti con il consenso esplicito e affermativo dei consumatori. A tal fine, il GDPR protegge tutte le informazioni che possono essere utilizzate per identificare direttamente o indirettamente un individuo. Ciò include informazioni di identificazione di base, dati web, dati sanitari, dati etnici e opinioni politiche.

Per essere conformi al GDPR, le aziende devono gestire con attenzione tutti i dati personali dei consumatori e fornire ai consumatori vari modi per controllare, monitorare ed eliminare le proprie informazioni se lo desiderano.

Il GDPR si applica a due gruppi principali di entità:

• Imprese situate nell'UE
• Imprese non situate nell'UE che offrono beni o servizi gratuiti oa pagamento o che monitorano il comportamento dei residenti nell'UE

Quindi, anche per le società di e-commerce con sede negli Stati Uniti che vendono principalmente a consumatori statunitensi, qualcosa di semplice come una campagna di retargeting AdWords potrebbe qualificarsi come monitoraggio del comportamento dei residenti nell'UE.

Per le aziende di eCommerce extra UE, quindi, ci sono due opzioni: ottenere la conformità al GDPR o perdere completamente l'accesso al mercato consumer dell'UE.

La seconda opzione sarebbe ingombrante e miope. Pensa solo a quanto lavoro ci vorrebbe per impedire ai cittadini dell'UE di guardare le vetrine sul tuo sito.

Invece, la mossa intelligente è quella di conformarsi al GDPR e, di conseguenza, di onorare le richieste dei consumatori a cui stai commercializzando e vendendo.

Perché il GDPR fa bene all'e-commerce

Kris Lahiri, co-fondatore e chief security officer di Egnyte, afferma che il GDPR offre ai consumatori un controllo significativamente maggiore sui dati che hanno affidato alle aziende.

L'idea chiave qui è "fiducia": il GDPR intende stabilire nuove regole di base per le relazioni tra imprese e consumatori e, in questo nuovo panorama, il successo delle vendite dirette al consumatore dipenderà dalla capacità del rivenditore di dimostrare l'affidabilità. Come abbiamo visto, quasi i due terzi dei consumatori sostengono che la responsabilità della protezione dei dati ricade sull'azienda che li raccoglie. Prendendo questa responsabilità con la serietà richiesta dalla legge, i rivenditori online possono dimostrare la loro affidabilità ai consumatori.

Ancora una volta, il GDPR non è semplicemente una misura di sicurezza dei dati. Si tratta di una legge progressiva che obbliga le aziende a onorare i diritti dei consumatori dell'UE alla proprietà dei propri dati. Questa legge afferma, tra le altre cose, che un cittadino dell'UE ha il diritto di non essere preso di mira da messaggi di marketing senza prima aver aderito a tale conversazione.

In settori come l'eCommerce, in cui la fedeltà dei consumatori deve essere guadagnata nel tempo, onorare il diritto alla privacy di un consumatore non è solo una buona cosa.

È un elemento fondamentale di fiducia.

Numeri schiaccianti: il business case per essere proattivi sulla conformità

Il carico di lavoro sulle aziende per diventare conformi è potenzialmente pesante, a seconda delle attuali strutture e processi di sicurezza di un'organizzazione e di quanto divergono dal GDPR. La conformità al GDPR ha anche il potenziale per essere molto costosa per le aziende. Secondo un sondaggio di Propeller Insights di marzo 2018, il 36% delle aziende prevede di spendere tra $ 50.000 e $ 100.000 in sforzi di conformità al GDPR. Un altro 24% spenderà tra $ 100.000 e $ 1 milione.

Ma quegli investimenti monetari potrebbero impallidire in confronto alla perdita di affari se i consumatori perdessero la loro fiducia in un'organizzazione. Avere la propria privacy protetta online è fondamentale per i consumatori e hanno il potere di danneggiare le aziende che non stanno facendo abbastanza per proteggerli.

Impegnandosi per la conformità al GDPR, le organizzazioni possono trasformare la regolamentazione in pratiche aziendali valide che possono utilizzare per costruire relazioni migliori con i consumatori.

Inoltre, dal punto di vista aziendale, investire tempo e denaro in anticipo per la conformità può far risparmiare denaro alle aziende nel lungo periodo, prevenendo costose violazioni. Secondo il Cost of Data Breach Study 2017 del Ponemon Institute, il costo medio di una violazione dei dati è di 3,62 milioni di dollari. È una quantità significativa di denaro per una causa prevenibile.

Implementando i requisiti di sicurezza del GDPR, le aziende potrebbero spendere subito una somma a cinque cifre per evitare di dover pagare una somma a sette cifre in seguito.

Come prepararsi per la conformità al GDPR

La preparazione per il GDPR varia in base all'organizzazione, ma ecco alcuni passaggi di base che le aziende di e-commerce possono intraprendere per muoversi nella giusta direzione.

1. Coinvolgere tutti gli stakeholder

La prima cosa da fare è creare una task force GDPR che includa membri del team di ogni livello dell'organizzazione. Dovrebbe essere incluso qualsiasi gruppo all'interno dell'azienda che raccoglie, analizza, elabora o interagisce in altro modo con i dati dei consumatori. Questi membri del team possono condividere facilmente qualsiasi informazione che possa essere utile per implementare le modifiche necessarie per la conformità al GDPR, oltre a gestire l'impatto sui rispettivi team.

Per motivare la task force, Peter Beshar di Marsh & McLennan incoraggia le aziende a impostare un tono di consapevolezza e urgenza a livello esecutivo che si diffonde nell'organizzazione e promuove l'importanza della conformità.

Personalizza il regolamento per un maggiore impatto. Nessuno vuole che le proprie informazioni private vengano compromesse. Usa quell'angolazione quando sottolinei l'importanza della conformità. Rendendolo personale, i membri del tuo team capiranno meglio il valore del lavoro necessario per rendere l'organizzazione conforme.

Il GDPR è ampio. Tutte le parti interessate devono essere formate sui requisiti del GDPR, il che implica lo sviluppo di sessioni di formazione, la fornitura di risorse informative e la consulenza regolare con i dipendenti, spiega David Lat, editore fondatore di Above the Law. È fondamentale che le informazioni siano presentate in modo che tutti possano comprendere e assimilare i materiali, quindi elementi visivi come poster e video possono essere ottimi strumenti per spiegare le complessità del GDPR.

2. Implementare uno strumento SIEM

Il GDPR richiede ai titolari del trattamento di tracciare e registrare tutte le attività di elaborazione sotto le proprie responsabilità e la maggior parte delle organizzazioni utilizza uno strumento SIEM (Security Information and Event Management) per farlo, osserva Javvad Malik, difensore della sicurezza presso la società di sicurezza delle informazioni AlienVault.

Uno strumento SIEM raccoglie dati da una rete di sistemi hardware e software e li analizza in tempo reale per correlare eventi e individuare anomalie o modelli di comportamento che possono indicare una violazione della sicurezza, spiega lo scrittore di tecnologia Paul Rubens in un rapporto per eSecurity Planet. Gli strumenti SIEM gestiscono i registri di sicurezza su vari dispositivi, individuando minacce, prevenendo e rilevando violazioni e fornendo prove forensi per determinare come si è verificato un evento di sicurezza e il suo potenziale impatto, osserva Rubens.

Prima di implementare uno strumento SIEM, assicurati di creare un inventario di tutte le risorse critiche che hanno accesso alle informazioni personali dei consumatori, suggerisce Malik. E non dimenticare di includere i dispositivi mobili nell'inventario. Un sondaggio della società di sicurezza mobile Lookout, Inc. mostra che il 63% dei dipendenti aziendali accede ai dati di clienti, partner e dipendenti mentre si trova su un dispositivo mobile.

La conoscenza di queste informazioni garantisce che tutti i sistemi necessari siano inclusi per la raccolta dei dati da un sistema SIEM.

3. Condurre valutazioni dei rischi

In un senso molto ampio, le normative GDPR richiedono alle aziende di implementare misure di sicurezza adeguate ai rischi affrontati dai loro sistemi. Le normative non definiscono volutamente il rischio, lasciando all'organizzazione il compito di determinare il modo migliore per affrontare il rischio e raggiungere la conformità al GDPR.

Un'approfondita valutazione dei rischi include sia l'identificazione dei rischi sia la creazione di piani di mitigazione per combattere i rischi identificati. Matt Middleton-Leal, direttore generale EMEA presso la società di sicurezza informatica e conformità Netwrix, suggerisce alcuni passaggi per le aziende nei loro sforzi per condurre valutazioni del rischio:

• Rivedere gli standard di conformità alternativi per trarre ispirazione (ad es. PCI, DSS).
• Classifica i dati in modo che tutti conoscano e comprendano tutti i punti dati e la loro sensibilità.
• Identificare rischi specifici e pesarli su un rapporto rischio/beneficio.
• Valutare continuamente.

È meglio consultare il tuo team legale durante l'intero processo di conformità al GDPR, ma questo passaggio in particolare è quello in cui il legale può essere un partner cruciale. L'ufficio legale può aiutarti a guidare la tua valutazione del rischio, aiutare con la pianificazione continua e controllare continuamente la tua conformità.

4. Implementare i controlli di rilevamento delle minacce

Il GDPR richiede alle aziende di segnalare violazioni della sicurezza entro 72 ore. Per soddisfare questa richiesta, le organizzazioni devono disporre di adeguati controlli di rilevamento delle minacce per attivare avvisi immediati quando si verifica una violazione. I controlli devono essere sufficienti per consentire una risposta entro quella piccola finestra di tempo.

Sara Pan della società di sicurezza dei dati Imperva suggerisce di porre domande come:

• "Chi accede ai dati?"
• "L'accesso è appropriato per l'utente?"
• "Come otteniamo la risposta di incidenza più rapida?"

Il rilevamento delle minacce non è un processo impostalo e dimenticalo. Richiede un monitoraggio continuo per le minacce interne ed esterne, quindi è importante per le aziende impostare anche processi per valutazioni continue e avere un piano dettagliato di risposta agli incidenti. Il piano di risposta deve concentrarsi sull'indagine sull'incidente per determinarne l'origine e il processo per contenerlo.

Testando regolarmente questi processi e piani, le aziende sono in una posizione migliore per rispondere alle minacce e agli attacchi in modo conforme al GDPR.

Questa è un'opportunità per difendere la protezione dei dati dei consumatori

Il GDPR prevede di imporre sanzioni pecuniarie alle aziende non conformi a partire dal 25 maggio 2018. Ci sono due livelli di multe di cui le organizzazioni devono essere a conoscenza e sono spiegate in modo più dettagliato su GDPREU.org.

• Livello inferiore: fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell'anno finanziario precedente, a seconda di quale sia il più alto.
• Livello superiore: fino a 20 milioni di euro o al 4% del fatturato annuo mondiale dell'anno finanziario precedente, a seconda di quale sia il più alto.

Sebbene le multe siano pesanti, l'attenzione per le aziende deve concentrarsi maggiormente sull'implementazione dei processi appropriati per garantire la protezione dei dati e la privacy, senza prendere scorciatoie solo per evitare sanzioni. Tentando di eludere i processi solo per evitare multe, le organizzazioni rischiano l'ira non solo delle agenzie di regolamentazione, ma dei consumatori che le mantengono in attività. Il GDPR non è stato approvato per punire le imprese, ma per proteggere i consumatori.

Con questo obiettivo in mente, le organizzazioni dovrebbero essere motivate a dimostrare ai consumatori che si preoccupano della protezione delle informazioni private e sono disposte a mettere in atto misure di sicurezza che abbiano a cuore i migliori interessi dei consumatori. Tutta l'energia e le risorse spese per la conformità ripagheranno quando i consumatori saranno più disposti a fare affari con le aziende di cui si fidano.

Ma ci vorrà un impegno dedicato da parte delle aziende. Con l'avvicinarsi della scadenza del 25 maggio, le organizzazioni devono perseguire attivamente la conformità al GDPR.

Dichiarazione di non responsabilità: questa pubblicazione non costituisce alcun tipo di consulenza legale e non dovrebbe impedirti di ottenere la tua consulenza legale da un avvocato qualificato. Inoltre, questo articolo non è un documento legalmente vincolante e non è destinato all'esecuzione. Il contenuto fornito in questo articolo è soggetto a modifiche e non riflette nella sua interezza i requisiti previsti dalla legislazione applicabile. Nel fornire questa pubblicazione, Scalefast non garantisce che eseguirà alcun documento legalmente vincolante e si riserva il diritto di ritirarsi dalle discussioni senza incorrere in alcun tipo di responsabilità in qualsiasi momento.

Immagini di: Comfreak, rawpixel.com, Free-Photos