Quando il 25 maggio 2018 il GDPR è diventato esecutivo per tutte le aziende con clienti o dipendenti europei, è stato fonte di forte preoccupazione in alcuni vertici aziendali.
Nel giro di 24 ore, sia Google che Facebook sono stati schiacciati con azioni legali che minacciano oltre 8 miliardi di dollari di danni. Nell’aprile 2018, Harvey Nash e KPMG hanno rilevato che 38% dei dirigenti del settore tecnologico temeva di non essere conforme al GDPR entro la scadenza di maggio, e un sondaggio condotto tra i partecipanti alla conferenza Infosecurity Europe nell’agosto 2018 ha rilevato che il 28% delle organizzazioni non si considerava ancora completamente conforme.
Ma per Andre Schindler, direttore generale di NinjaOne per l’area EMEA, la definizione delle policy aziendali sulla privacy e sul GDPR è stata un’opportunità per essere trasparenti con i clienti.
“L’idea del GDPR è quella di aiutare le persone a capire cosa succede ai loro dati”, spiega Schindler. “Non nasconderlo in termini complicati o nel contratto di licenza con l’utente finale (EULA) da qualche parte alla pagina 15. Basta semplicemente informarli su cosa succede con i loro dati”.
Schindler si è rivolto ai consulenti per la privacy di TrustArc per valutare i processi di trattamento dei dati di NinjaOne. Con sede a San Francisco, TrustArc assiste più di 1.000 aziende in tutto il mondo nella gestione della privacy, della conformità e del rischio.
In buona compagnia
Aziende tecnologiche selezionate che si sono affidate a TrustArc per la conformità alla privacy e la gestione dei rischi
“Volevamo un appaltatore indipendente che controllasse tutte le cose che facciamo e si assicurasse che non dimenticassimo nulla”, spiega Schindler.
Dopo aver ottenuto i documenti di NinjaOne e aver effettuato colloqui con il personale, TrustArc ha identificato i tipi di dati personalizzati che l’azienda acquisisce, assicurandosi che fossero veramente necessari per fornire servizi ai clienti. TrustArc ha inoltre confermato che NinjaOne disponeva di solide procedure per consentire ai clienti europei di valutare, modificare, correggere o cancellare i propri dati. La revisione delle procedure GDPR ha esaminato anche il regime di sicurezza, comprese le protezioni fisiche dei centri dati, la forza degli algoritmi di crittografia e dei firewall e i protocolli di sicurezza della rete.
In definitiva, la policy GDPR di NinjaOne si riduce a una chiara divulgazione di ciò che l’azienda fa con i dati degli utenti, nonché di procedure nel caso in cui un cliente europeo voglia rivedere i dati personali degli utenti o farli cancellare. Questo è particolarmente importante per un’azienda SaaS come NinjaOne, che si affida a potenziali clienti che forniscono informazioni di contatto per iscriversi alle demo o all’assistenza.
In conformità con le norme del GDPR, i clienti devono effettuare un opt-in attivo prima che un’azienda possa utilizzare i loro dati per contattarli.
Inoltre, se la persona si iscrive al servizio, i dati personali e i dettagli finanziari saranno trasmessi tramite crittografia TLS e poi archiviati in un centro dati protetto da crittografia AES-256, backup automatici, dipendenti umani che utilizzano l’autenticazione a due fattori e sistemi antincendio. NinjaOne partecipa anche al EU-US Privacy Shield framework che sostituisce i precedenti International Safety Harbor Privacy Principles.
“Teniamo i dati molto riservati e li condividiamo solo quando la tecnologia ce lo impone”, afferma Schindler.
NinjaOne si integra solo con partner tecnologici di terze parti che hanno ottenuto la conformità al GDPR, come l’antivirus Webroot o l’azienda di accesso remoto TeamViewer. E se un MSP con sede nell’Unione Europea, o un MSP che ha clienti in Europa, desidera vedere quali dati personali NinjaOne ha raccolto o cancellato, deve semplicemente contattare l’azienda all’indirizzo [email protected].
“La privacy dei dati non deve essere venduta, né deve essere una nuova preoccupazione solo perché è stato introdotto il GDPR”, sostiene Schindler. “La privacy dei dati e la sicurezza dei clienti devono essere una parte fondamentale degli obiettivi di qualsiasi azienda”.
