COS’E’ IL GDPR?

Il General Data Protection Regulation (GDPR) è una nuova LEGGE EUROPEA decisa e scritta nel dicembre 2015, e sarà in vigore dal 25 Maggio 2018.
Lo scopo è di rimuovere la complessità che il business incontra ad oggi per rispettare le diverse regolamentazioni  attraverso tutta l’ Europa.
Il GDPR unifica ed accomuna la legislazione relativa alla protezione dei dati in Europa, semplificando i processi e rendendo uguali per tutti gli obblighi legali per qualsiasi stato che lavori / commerci / interagisca con più di uno stato in Europa.

ALCUNI PUNTI SALIENTI.

PERSONAL DATA: Il GDPR è limitato ai dati personali ma la classificazione degli stessi cambia. Un esempio NUOVO IMPORTANTE è che un indirizzo IP che può identificare un dispositivo collegato ad internet e quindi un utente deve essere trattato come DATO PERSONALE.
DATA BREACH: Il GDPR definisce un “Data Breach” come una azione, accidentale o volontaria, che porta alla distruzione, perdita, alterazione, accesso non autorizzato o diffusione non autorizzata di dati personali, siano essi trasmessi, depositati o in qualsivoglia modo trattati . La perdita di DATI CIFRATI NON COSTITUISCE un “Data Breach”.
CONTINUOS COMPLIANCE AND AUDIT: Il GDPR introduce il concetto di Compliance continua. Significa che deve continuamente con cadenze annuali, semestrali, mensili o settimanali assicurarsi del corretto immagazzinamento dei dati personali raccolti e notificarne l’eventuale “Data Breach” entro 72 ore, come stabilito dal GPDR. Inoltre in qualsivoglia momento un cliente può chiedere ad una azienda che ha raccolto i suoi dati personali di dimostrare la propria Compliance, e la società deve poter rispondere praticamente in tempo reale.

CHI LO DEVE RISPETTARE?

Tutte le società che gestiscono dati di cittadini europei. È importante capire e fare capire ai clienti che queste leggi si applicano a tutti indipendentemente da dove fisicamente il dato risiede, anche i provider cloud USA ad esempio, seppur non siano basati in europa, SONO INCLUSI se trattano tali dati.

COSA DEVONO FARE QUINDI LE AZIENDE?

Implementare le giuste ed approriate misure di sicurezza per proteggere I dati personali raccolti. Notificare i coinvolti ad ogni livello e l’autorità. Pagare multe in caso di comprovato incidente ai dati personali, che sia esso doloso o meno.

OCCHIO ALLE SANZIONI!

Ove dovesse rilevarsi, a seguito del danno subito dall’azienda e dai clienti della stessa, una mancata o inadeguata formazione del personale dipendente o una mancata o inadeguata adozione di misure di sicurezza si applicherebbero le sanzioni civili e penali previste dal D.Lgs. 196/2003 che prevedono fino a due anni di arresto e fino a 120.000 Euro di sanzione amministrativa, a seconda delle responsabilità accertate. Ad esempio anche l’amministratore di sistema e il titolare del trattamento dei dati in caso di cifratura dati causata da un KryptoVirus non possono dormire sonni tranquilli nell’ipotesi in cui non abbiano curato adeguatamente le misure di sicurezza dei sistemi informatici e dell’organizzazione che ha subito l’attacco informatico.

RIASSUMENDO:

  • E’ necessario eleggere e/o assumere un DPO (Data Protection Officer) cioè un Responsabile della Protezione dei Dati, una figura importante e centrale nell’ambito del GDPR. E’ quel soggetto, all’interno di organizzazioni complesse, cui demandare il coordinamento della necessaria attuazione delle norme previste dal Regolamento.
  • E’ necessario adottare processi e politiche volte a dare alle persone maggiore controllo sui propri dati.
  • E’ necessario informare ed aggiornare il personale.
  • E’ necessario riscrivere manuali e procedure, adeguando la privacy alle nuove norme europee.
  • E’ necessario richiedere ai propri fornitori l’adeguamento alla normativa.
  • E’ necessario ADEGUARE I PROPRI SISTEMI INFORMATICI mantenendoli sempre aggiornati e monitorati.
  • E’ necessario implementare soluzioni di Security che consentano di prevenire gli accessi non autorizzati, garantire agli utenti di accedere nel modo corretto e sicuro alle risorse, ai siti, alle applicazioni ed ai dati, database inclusi.
  • E’ necessario eseguire periodicamente l’analisi e il monitoraggio della vulnerabilità in rete e la sicurezza informatica per infrastrutture web e web application.

Se hai qualche domanda da farci su come adeguare i tuoi sistemi informatici, adottare soluzioni di backup o altro chiamaci allo 051/6800889.

E’ importante sapere ad esempio che solo i sistemi operativi (Windows 7, 8 o 10) di tipo PROFESSIONAL sono predisposti per la crittografia dei contenuti per la protezione dati.

Tags: , , ,