NIS2 e registrazione al portale ACN: guida per le aziende
Il 28 febbraio 2025 è la data fondamentale per tutte le aziende che rientrano nel perimetro della…
Interessato alle soluzioni di sicurezza di Axitea?
Redazione Axitea
GDPR, cosa fare per essere in regola? Negli ultimi mesi non si sente parlare d’altro che del discussissimo Regolamento UE 2016/679 sulla protezione dei dati personali, il celebre GDPR (dall’inglese “General Data Protection Regulation”).
Il Regolamento è stato approvato ad aprile 2016, il testo è stato riportato in Gazzetta Ufficiale nel maggio dello stesso anno ed entra in vigore ufficialmente (a livello di sanzioni) il 25 maggio 2018.
Due anni di tempo per le aziende per mettersi in regola: la nuova normativa sostituisce tutte quelle presenti negli Stati membri in UE e vede coinvolti tutti i soggetti: aziende, enti pubblici, e individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE.
GDPR, lo scopo della normativa
Il GDPR è un Regolamento che ha lo scopo di unificare il sistema di protezione dei dati in Europa, avendo come obiettivo la protezione accurata di dati personali e la definizione di una serie di misure per migliorare la trasparenza nel controllo e nella gestione dei dati.
Cosa sono i dati personali
Sono dati personali le informazioni che identificano o rendono identificabile (attraverso una comparazione o una combinazione di informazioni) una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Particolarmente importanti sono:
Le novità del Regolamento
Ecco alcuni cambiamenti che ha introdotto il nuovo Regolamento:
Obbligo per le aziende di creare e adottare una propria Data Protection by Design e by Default. Ma cosa significa?
Obbligo per le aziende di adottare un registro delle attività – viene affidato ai titolari delle aziende il compito di decidere in modo autonomo modalità, garanzie e limiti del trattamento dei dati personali, e sono i titolari stessi che devono dimostrare di aver adottato le misure adeguate stabilite dal Regolamento.
Introduzione della figura del DPO (Data Protection Officer): un professionista che alcune aziende – a seconda della tipologia di azienda e dell’entità e quantità di dati trattati – devono obbligatoriamente nominare. Il DPO dovrà sempre essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali e sarà anche il tramite tra azienda e Autorità Garante Nazionale.
Verifica periodica dei livelli di sicurezza e della protezione dei Dati Personali (Data Breach): in caso di violazione degli standard di sicurezza adottati per la protezione dei dati personali sarà obbligatorio notificare l’avvenimento entro e non oltre le 72 ore successive, alle autorità e ai soggetti interessati alla violazione. Deve essere inoltre presentato un piano alle autorità che specifichi come l’azienda intende porre rimedio all’evento verificatosi.
GDPR: sanzioni per le aziende che non si adeguano
Per le aziende che non si adeguano alle misure previste dal GDPR sono state fissate delle sanzioni che saranno applicate ogni volta che verranno rilevate irregolarità nel trattamento dei dati personali.
Per la violazione di:
Cosa fare per essere un’azienda GDPR compliant?
È sicuramente necessario per tutte le tipologie di aziende iniziare a mettersi in regola con la nuova normativa per non rischiare sanzioni: il GDPR rappresenta un cambiamento radicale nella gestione dei dati personali che come abbiamo visto ha il fine di evitare la perdita, violazione, manomissione e utilizzo non autorizzato dei dati personali stessi.
Abbiamo visto che la normativa parla di “soluzioni adeguate” per la protezione dei dati personali.
L’adeguatezza è valutata sia dal punto di vista dell’efficacia delle misure di protezione, sia dal punto di vista dell’efficacia delle misure di identificazione delle minacce e incidenti. In altre parole non sono adeguato se non ho una protezione adeguata rispetto alle minacce più diffuse, ad esempio non sono dotato di una soluzione antimalware che è ben altra cosa di un antivirus, ma non sono adeguato anche se non ho la capacità di rilevare un’intrusione e accorgermi tempestivamente della sottrazione dei dati personali dei miei clienti, fornitori etc.
Ma le minacce evolvono ormai di ora in ora, e attenzione che una soluzione adeguata e efficace oggi non è detto che lo sia domani. Come poter gestire questo aspetto?
Per evitare ingenti investimenti in tecnologie e personale qualificato una soluzione è di fornire in outsorcing la sicurezza dei dati personali attraverso soluzioni di Sicurezza Informatica Gestita permettono in primo luogo di prevenire situazioni di perdita / violazione di dati, in secondo luogo grazie a un Security Operation Center si può trasmettere un incident report alle autorità competenti contenente le informazioni su quanto accaduto e dimostrando in questo modo che si erano adottate le contromisure necessarie.
Un servizio di Sicurezza Informatica Gestita supporta, infine, con la documentazione necessaria l’eventuale denuncia di Data Breach dovuto ad attacco malware.
Interessato alle soluzioni di sicurezza di Axitea?
Il 28 febbraio 2025 è la data fondamentale per tutte le aziende che rientrano nel perimetro della…
Nel contesto della sicurezza moderna, la tecnologia gioca un ruolo cruciale nell’ottimizzazione dei processi di videosorveglianza e…
L’adozione pervasiva dell’intelligenza artificiale generativa nelle organizzazioni ha portato a un’accelerazione senza precedenti nei processi aziendali. Tuttavia,…
Il panorama industriale è in continua evoluzione, trainato dall’avvento delle tecnologie digitali e dell’Internet delle Cose (IoT)….