È ormai applicabile in tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
La vera novità consiste nell’istituzione del principio di accountability, ovvero di responsabilizzazione dei titolari e responsabili dei dati, che si basa su due concetti fondamentali: Privacy by Design e Privacy by Default. Con il primo principio le misure di protezione dei dati devono essere pianificate a partire dalla progettazione dei processi aziendali; con il secondo si vuole instaurare la capacità di disegnare le misure di sicurezza e privacy come prerequisito di normale funzionamento dei sistemi informativi aziendali.
In qualità di Responsabile del trattamento di dati personali per conto di numerose aziende farmaceutiche ed aziende di servizi operanti in ambito farmaceutico, per le quali eroghiamo il servizio in SaaS (Software as a Service), abbiamo implementato questi concetti nei nostri processi aziendali, pianificando e portando a compimento una serie di azioni volte a dare una risposta solida ed efficace alla tematica della protezione dei dati.
A fronte di un’approfondita analisi dei rischi effettuata in questi ultimi mesi, abbiamo adottato varie misure che hanno portato ad un miglioramento generale del controllo degli accessi e della protezione dei dati, ad una prevenzione più efficace della violazione o furto e ad una più elevata trasparenza nei confronti dei proprietari degli stessi.
In particolare si è proceduto a:
- Irrobustire le credenziali di accesso ai sistemi
- Negare l’accesso ai sistemi di farmacovigilanza SaaS a chiunque non abbia un Certificato di Accesso Nominativo, rilasciato e installato sul proprio personal computer da noi
- Migliorare il metodo di crittografia del database
- Aumentare la protezione del sistema di Disaster Recovery per garantire una copia dei dati immune dagli attacchi informatici avvenuti sul sito primario
- Dotarci di strumenti autonomi per valutare periodicamente, attraverso Penetration Test, il grado di sicurezza del sistema ed adeguarlo applicando il Reparation Plan da esso derivante
- Potenziare il sistema di monitoraggio degli accessi all’infrastruttura IT che supporta il SaaS, attivando un sistema di allarmi più efficiente ed efficace e fornendo report che comprovino la protezione dei dati personali e la trasparenza sulla loro gestione
- Sensibilizzare sempre più il personale dedicato all’assistenza ed alla manutenzione sul tema Privacy
Queste sono solo alcune delle misure tecniche e organizzative implementate per la conformità al GDPR, che saranno costantemente verificate, monitorate ed aggiornate.