Axitea » Approfondimenti » GDPR, cosa fare per essere in regola

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

GDPR, cosa fare per essere in regola? Negli ultimi mesi non si sente parlare d’altro che del discussissimo Regolamento UE 2016/679 sulla protezione dei dati personali, il celebre GDPR (dall’inglese “General Data Protection Regulation”).

Il Regolamento è stato approvato ad aprile 2016, il testo è stato riportato in Gazzetta Ufficiale nel maggio dello stesso anno ed entra in vigore ufficialmente (a livello di sanzioni) il 25 maggio 2018.

Due anni di tempo per le aziende per mettersi in regola: la nuova normativa sostituisce tutte quelle presenti negli Stati membri in UE e vede coinvolti tutti i soggetti: aziende, enti pubblici, e individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE.

GDPR, lo scopo della normativa

Il GDPR è un Regolamento che ha lo scopo di unificare il sistema di protezione dei dati in Europa, avendo come obiettivo la protezione accurata di dati personali e la definizione di una serie di misure per migliorare la trasparenza nel controllo e nella gestione dei dati.

Cosa sono i dati personali

Sono dati personali le informazioni che identificano o rendono identificabile (attraverso una comparazione o una combinazione di informazioni) una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Particolarmente importanti sono:

  • I dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
  • I dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
  • I dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
    Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti, ma anche sullo scambio di informazioni personali o l’acquisizione di dati personali da e attraverso i Social Media.

Le novità del Regolamento

Ecco alcuni cambiamenti che ha introdotto il nuovo Regolamento:

Obbligo per le aziende di creare e adottare una propria Data Protection by Design e by Default. Ma cosa significa?

  • “by design” si intende l’obbligo da parte dell’azienda che intraprende un nuovo progetto di introdurre fin dall’inizio gli strumenti a tutela dei dati personali oltre che nell’esecuzione del trattamento.
  • “by default” prevede, invece, che le aziende trattino solamente i dati personali nella misura necessaria per le finalità previste e per il periodo strettamente necessario a tali fini.

Obbligo per le aziende di adottare un registro delle attività – viene affidato ai titolari delle aziende il compito di decidere in modo autonomo modalità, garanzie e limiti del trattamento dei dati personali, e sono i titolari stessi che devono dimostrare di aver adottato le misure adeguate stabilite dal Regolamento.
Introduzione della figura del DPO (Data Protection Officer): un professionista che alcune aziende – a seconda della tipologia di azienda e dell’entità e quantità di dati trattati – devono obbligatoriamente nominare. Il DPO dovrà sempre essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali e sarà anche il tramite tra azienda e Autorità Garante Nazionale.
Verifica periodica dei livelli di sicurezza e della protezione dei Dati Personali (Data Breach): in caso di violazione degli standard di sicurezza adottati per la protezione dei dati personali sarà obbligatorio notificare l’avvenimento entro e non oltre le 72 ore successive, alle autorità e ai soggetti interessati alla violazione. Deve essere inoltre presentato un piano alle autorità che specifichi come l’azienda intende porre rimedio all’evento verificatosi.

GDPR: sanzioni per le aziende che non si adeguano

Per le aziende che non si adeguano alle misure previste dal GDPR sono state fissate delle sanzioni che saranno applicate ogni volta che verranno rilevate irregolarità nel trattamento dei dati personali.
Per la violazione di:

  • Dati comuni: sanzioni fino a 10.000.000 oppure estendibile fino al 2% del fatturato totale mondiale se superiore alla sanzione, per ogni violazione
  • Dati sensibili e giudiziari: sanzioni fino a 20.000.000 oppure estendibile fino al 4% 2% del fatturato totale mondiale se superiore alla sanzione, per ogni violazione

Cosa fare per essere un’azienda GDPR compliant?

È sicuramente necessario per tutte le tipologie di aziende iniziare a mettersi in regola con la nuova normativa per non rischiare sanzioni: il GDPR rappresenta un cambiamento radicale nella gestione dei dati personali che come abbiamo visto ha il fine di evitare la perdita, violazione, manomissione e utilizzo non autorizzato dei dati personali stessi.

Abbiamo visto che la normativa parla di “soluzioni adeguate” per la protezione dei dati personali.

L’adeguatezza è valutata sia dal punto di vista dell’efficacia delle misure di protezione, sia dal punto di vista dell’efficacia delle misure di identificazione delle minacce e incidenti. In altre parole non sono adeguato se non ho una protezione adeguata rispetto alle minacce più diffuse, ad esempio non sono dotato di una soluzione antimalware che è ben altra cosa di un antivirus, ma non sono adeguato anche se non ho la capacità di rilevare un’intrusione e accorgermi tempestivamente della sottrazione dei dati personali dei miei clienti, fornitori etc.

Ma le minacce evolvono ormai di ora in ora, e attenzione che una soluzione adeguata e efficace oggi non è detto che lo sia domani. Come poter gestire questo aspetto?

Per evitare ingenti investimenti in tecnologie e personale qualificato una soluzione è di fornire in outsorcing la sicurezza dei dati personali attraverso soluzioni di Sicurezza Informatica Gestita permettono in primo luogo di prevenire situazioni di perdita / violazione di dati, in secondo luogo grazie a un Security Operation Center si può trasmettere un incident report alle autorità competenti contenente le informazioni su quanto accaduto e dimostrando in questo modo che si erano adottate le contromisure necessarie.

Un servizio di Sicurezza Informatica Gestita supporta, infine, con la documentazione necessaria l’eventuale denuncia di Data Breach dovuto ad attacco malware.

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su