La normativa è stata approvata dal Parlamento Europeo nell’aprile 2016 con lo scopo di armonizzare le leggi sulla privacy in tutti i paesi europei, standardizzare le politiche in tema di sicurezza dei dati, assicurare a tutti i cittadini UE la massima protezione dei loro dati sensibili.

Le imprese europee e americane dovranno essere in grado di dimostrare la compliance del trattamento dei dati in termini di gestione, immagazzinamento e condivisone indipendentemente dalla quantità dei data set in questione.

La principale differenza rispetto al passato, è che gestire la “privacy” all’interno dell’organizzazione non potrà più essere un semplice adempimento ai singoli obblighi normativi ma implicherà di impostare un processo, analizzare i rischi e gestire, con continuità e nel fermo rispetto dei diritti di ogni individuo, i dati personali che si trattano.

La normativa prevede una multa fino a 20 milioni di euro o il 4% del fatturato annuo globale per ogni caso di violazione nei seguenti casi:

• Per chi non si adegua alla nuova normativa entro il termine previsto dalla Comunità Europea;
• Nei casi in cui, nonostante l’adempimento, emergono carenze regolamentari a seguito di una violazione dei dati.

Le attività fondamentali per preparare l’azienda a fronteggiare il cambiamento sono:

1. Avviare un sistema di autenticazione delle e-mail tramite Dmarc (Domain-based message
   authentication, reporting and conformance).
2.  Fare un inventario dei servizi Cloud utilizzati.
3.  Aggiornare policy per la privacy.
4.  Mettere a punto un piano apposito in caso di Data breach.
5. Nominare un Data Protection Officer.

Un altro aspetto alquanto delicato connesso al GDPR riguarda l’articolo 17, che introduce il diritto all’oblio per gli utenti.  In altre parole, le aziende dovranno disporre di sistemi di storage in grado di proteggere, mobilitare e monetizzare i loro dati lungo tutti i confini del cloud.