La compliance al GDPR, il regolamento europeo sulla privacy, è un aspetto spesso sottovalutato dalle aziende e ne troviamo conferma nelle continue implicazioni legali e nelle multe che puntualmente vengono comminate.
La compliance di un’applicazione software va costruita già dalle prime fasi dello sviluppo implementando da subito due concetti chiave del GDPR, vale a dire Privacy by Default e Privacy by Design, specificatamente introdotti nell’art.25.
Fortunatamente la maggioranza delle librerie software che vengono utilizzate nello sviluppo quotidiano hanno già all’interno tutti gli strumenti per realizzare la compliance al GDPR senza spendere quantità ingenti di denaro in software specialistico.
Implementare il GDPR è già nelle tue possibilità
Se inizi a considerare il GDPR come una caratteristica di default dell’applicazione potrai verificare tu stesso che realizzarne la compliance, cioè integrare Masking, Encryption e Logging di ogni componente che impiega informazioni personali, è un qualcosa già immediatamente fattibile con gli strumenti a tua disposizione e non un onere aggiuntivo. Web Framework e Cloud Architecture come Google già sono dotati di strumenti che ne facilitano la compliance.
Contattaci subito e senza impegno per consulenza tecnologica su come implementare il GDPR.
Una semplice architettura con Spring Boot e Aspect Oriented Programming(AOP)
I tre aspetti che occorre realizzare per essere compliant al GDPR richiedono, in pratica, di salvaguardare le informazioni personali degli utenti e sono:
- Encryption: cifrare i dati al fine di nascondere le informazioni che devono essere protette e quindi decifrare per utilizzarle;
- Masking: nascondere una parte dell’informazione applicando opportuni pattern affinchè le persone non autorizzate non possano comprendere l’informazione;
- Logging: registrare qualsiasi operazione che coinvolga qualsiasi tipologia di dato personale.
Attraverso i seguenti elementi puoi ottenere un’applicazione GDPR compliant:
- Spring Boot framework: per costruire la Web Application “tradizionale” in cui vengono realizzati Entity(per la gestione dell’Utente), Service (per logging ed azioni sull’utente), Controller( per REST Web Service).
- Java custom annotation: per creare un annotazione speciale(@interface GDPR{ } ) che richiede l’applicazione dei metodi GDPR specificatamente sviluppati in Runtime;
- AOP: per intercettare e processare i metodi con annotazione GDPR;
- Classe per Encryption e Masking: una specifica classe che implementa i metodi di cifratura/decifratura e di masking;
- Jackson Serializer: per processare gli oggetti Java e semplificare la gestione applicativa interna attarverso l’ObjectMapper della Jackson Library.
L’architettura rispetta uno scenario classico in cui l’utente inserisce informazioni personali in chiaro che vengono processate da uno specifico controller istruito per applicare i metodi GDPR e quindi la relativa cifratura all’atto del salvataggio nel Database. Al contrario se si volessero visualizzare i dati personali, in base al livello di autorizzazione dell’utente, avverrebbe la decifratura ed il mascheramento.
Applicando “by Default” tali controlli e metodi puoi garantire la sicurezza dei dati dei tuoi utenti ed essere compliant al GDPR, a livello applicativo( per essere completamente compliant al GDPR devi chiaramente rispettarlo nella sua interezza e non solo nella componente applicativa).
La tecnologia suggerita è solo un esempio, nella realtà puoi sfruttare gli stessi concetti con altri framework come NestJS ed integrarli su architetture Cloud based come Kubernetes.
Glue Labs, il GDPR e le Architetture Software
Abbiamo realizzato applicazioni per ambienti critici e che utilizzano i dati personali rispettando il GDPR, scopri alcuni Case Study. Grazie all’esperienza maturata in tantissimi settori, con numerosi Clienti e con un solido gruppo aziendale ti forniamo supporto nel building e delivery di software e di architetture IT compliant al GDPR corredati di documentazione professionale e con garanzia 12 mesi da qualsiasi bug. Contattaci subito e senza impegno per maggiori informazioni.
