Introduzione:

Il Regolamento Generale sulla protezione dei dati, il cd. GDPR, è il nuovo Regolamento europeo che entrerà in vigore a partire dal prossimo 25 maggio, atto a garantire la protezione e la libera circolazione dei dati personali all’interno dei territori dell’Unione Europea. Il Regolamento stabilisce diritti e doveri, molti dei quali nuovi, che vedranno coinvolte tutte le organizzazioni, pubbliche e private.

Novità:

• nuove definizioni per i dati da tutelare e nuove figure/responsabilità per l’applicazione delle tutele (prima fra tutte quella del cd. DPO, Data Protection Officer);
• rafforzamento dei diritti degli interessati;
• potenziamento e semplificazione degli strumenti di informativa e raccolta di consenso;
• nuovi e diversi obblighi per i Titolari del trattamento (tra cui la valutazione di impatto e l’adozione di misure adeguate alla protezione dei dati);
• nuove e consistenti sanzioni per la violazione degli obblighi o dei diritti degli interessati.

Di cosa si tratta ?

Il cd. GDPR è il Regolamento Europeo che definisce la protezione dei dati sensibili/persone. Entrerà in vigore il 25 maggio, ciò significa che dal 26 maggio potranno partire i controlli (GDF o NAS).

A chi si rivolge ?

A tutte le organizzazioni e/o le aziende che raccolgono, memorizzano o elaborano informazioni personali se:

• offrono beni o servizi,
• monitorano il comportamento di cittadini UE.

Tutte le organizzazioni e/o aziende che soddisfano questi requisiti devono garantire la conformità. In tal senso il Regolamento fa riferimento ad organizzazioni che devono garantire la conformità al GDPR in qualità di titolari del trattamento.

• I titolari del trattamento (Controller) sono entità (fisiche e giuridiche) che determinano le finalità, le condizioni ed i mezzi per l’elaborazione dei dati personali,
• I responsabili del trattamento (Processor) sono le entità che elaborano i dati personali per conto dei titolari.

Cosa si intende per dati personali ?

Qualsiasi informazione può essere utilizzata per identificare una persona in modo diretto o indiretto deve essere considerato un dato personale, per esempio: nomi, foto, indirizzi e-mail, coordinate bancarie, numeri di doc. d’identità, indirizzi IP ecc … .

Entrano in questa categoria anche i dati che possono essere attribuiti a un individuo in particolare o ad una organizzazione: nomi dei Clienti, numeri di telefono aziendali o personali, indirizzi, registri fornitori e informazioni su uno staff (dipendenti, collaboratori ecc …).

Obblighi e sanzioni:

NOTIFICHE PER VIOLAZIONE DEI DIRITTI: i titolari ed i responsabili del trattamento devono comunicare qualsiasi violazione alla Autorità di controllo, il Garante per la protezione dei dati personali, entro 72 ore dalla scoperta e devono informare del problema le persone a cui si riferiscono i dati “senza ingiustificato ritardo”.

CONSENSO ESPLICITO E CHIARO: al momento della raccolta dei dati personali dei Clienti, l’interessato deve consentire il proprio consenso esplicito (non “legalese”). I titolari ed i responsabili del trattamento devono fornire informazioni specifiche sul tipo di dato che viene raccolto e su come verranno memorizzati.

REGISTRAZIONE E CONSERVAZIONE DEI DATI PERSONALI: la dichiarazione di consenso può essere scritta o elettronica. I titolari ed i responsabili del trattamento devono conservare le dichiarazioni di consenso dei dati personali su file all’interno di un registro o data base a disposizione in caso di controllo. All’interno della dichiarazione deve essere indicata data e ora di quando questo consenso è stato dato.

NOMINA DI UN RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO) E’ OBBLIGATORIO:

1. Se il trattamento è svolto da una autorità pubblica o organismo pubblico
2. Se riguarda un monitoraggio in larga scala
3. Se si trattano categorie particolari di dati (condanne, reati penali ecc).

Il DPO ha l’obbligo di vigilare sulla corretta applicazione del trattamento dei dati. E’ una figura obbligatoria per tutte le PA, aziende e-commerce, aziende di mail marketing.

I SERVIZI CLOUD DEVONO ESSERE AL SICURO IN SERVER CHE SI TROVANO FISICAMENTE ALL’INTERNO DELL’UE: i titolari ed i responsabili del trattamento dei dati personali devono assicurarsi che i server dei gestionali, software ecc … siano fisicamente all’interno dei paese dell’UE. Nel caso è necessario sentire dai propri fornitori.

SANZIONI E COSTI LEGATI ALLA NON CONFORMITA’: le aziende e le organizzazioni che non garantiscono la conformità al GDPR possono essere soggette a multe fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

Da un obbligo può nascere un’opportunità:

Costruire una buona organizzazione interna alla propria azienda significa definire regole e responsabilità.

La sicurezza dei dati migliora l’operatività aziendale.

Cybersecurity:

Il Criptolocker è un virus che si propaga per mail su tutti i dati del computer ed unità di rete.

Firewall, antivirus e Backup a volte non bastano, tant’è che nel 2017 l’Italia è stata presa di mira dagli hacker con un attacco, secondo Kaspersky Lab, ogni 40 secondi.

La maggior parte degli attacchi arrivano da paesi esteri come per es. Cina e Russia.

L’85% degli attacchi andati a buon fine è dovuto a sole 10 vulnerabilità di cui 6 note da 10 anni.

L’approccio ottimale:

• Audit iniziale: per capire quali sono gli elementi dell’infrastruttura IT su cui occorrono azioni correttive;
• Correlazione degli eventi: tramite un’analisi precisa ed automatizzata dei log avere una visione chiara delle minacce, degli accessi esterni ed interni all’azienda e di chi fa cosa sul filesystem aziendale;
• Network Vulnerability Assessment: per avere una alerting automatico e puntuale di quelle che sono le vulnerabilità di sistema nel corso del tempo;
• Sicurezza perimetrale: per implementare meccanismi efficaci di protezione contro Malware, Intrusioni ed esfiltrazioni di dati
• Gestione centralizzata dei sistemi: per avere un controllo unificato su tutti gli aspetti legati alla gestione dell’infrastruttura IT, patch management, monitoring, automazione dei task e delle policy, accesso remoto e ticketing degli utenti interni
• Business Continuity: il «piano B» che ogni azienda dovrebbe avere per poter ripartire in tempi certi nel caso in cui il sistema venisse compromesso.

Auditing:

Attività non invasiva che si pone l’obbiettivo di fotografare lo stato dell’infrastruttura definendo il punto di partenza delle attività necessarie per la compliance GDPR (Gap Analysis).

Al termine di questa analisi devono essere generati una serie di documenti e report indirizzati sia all’IT dell’azienda che al suo Management.

Gestione centralizzata dei sistemi:

Audit e inventario: per eseguire l’inventario di “censimento” di hardware, software, PC server e dispositivi mobili;

Ticketing: per ricevere, gestire, tracciare e risolvere i problemi degli utenti da un’unica interfaccia web;

Discovery: per rilevare tutti i dispositivi collegati a una o più reti, catalogandoli all’interno del sistema per agevolarne la gestione;

Policy Management: per definire, gestire, applicare e implementare le policy IT su più gruppi di macchine, anche remote;

Software deployment: per installare e aggiornare applicazioni in remoto.

Gestione delle patch: per aggiornare automaticamente tramite l’installazione di patch i server, le workstation e i computer remoti.

Nei prossimi giorni invieremo ulteriori circolari in merito a questo argomento in particolare sugli step da seguire per la nuova gestione sulla privacy.

Nel frattempo, per chi non l’avesse ancora fatto, consigliamo di sentite il vostro tecnico IT o la software house che gestisce il vostro programma/gestionale.

Per approfondimenti potete contattarci direttamente in Studio oppure scriveteci alla pagina contatti.