GDPR

Cosa vuole dire e cosa è il GDPR?
The General Data Protection Regulation (GDPR) una nuova LEGGE EUROPEA decisa e scritta nel dicembre 2015, e effettiva in Italia dal 25 maggio 2018.

Scopo del GDPR: Lo scopo del GDPR è rimuovere la complessità che il business incontra ad oggi per rispettare le molteplici e diverse regolamentazioni locali attraverso tutta Europa, ove erano presenti 28 schemi legislativi differenti, uno per ogni stato dell’Unione.

Il GDPR, quindi, unifica ed accomuna la legislazione relativa alla data protection in Europa, semplificando i processi e rendendo uguali per tutti gli obblighi legali per qualsiasi stato che lavori/commerci/interagisca con più di uno stato in Europa.

Alcune delle Key Features

Personal data: Il GDPR viene applicato limitatamente ai dati personali, ma la definizione di dato personale viene ampliata: un indirizzo IP può identificare un device (uno smartphone o un tablet ad esempio) in maniera univoca, può quindi identificare un utilizzatore fisico, un utente. Con il GDPR l’IP è considerato quindi un DATO PERSONALE, e come tale deve essere trattato.

Data breach: Il GDPR definisce un “data breach” come una azione , accidentale o volontaria che ottiene/porta alla distruzione, perdita, alterazione, accesso non autorizzato o diffusione non autorizzata di dati personali, siano essi trasmessi, depositati o in qualsivoglia modo trattati . La perdinata/etc di dati CIFRATI non costituisce un “data breach”, e molte aziende, erroneamente, stanno usando questa “voce” per cifrare più dati di quanti davvero ne servano.

Continuous compliance and audit: GDPR introduce il concetto di Compliance continua : yearly, every 6months, monthly, weekly. In qualsivoglia momento, un auditor può chiedere ad una azienda di dimostrare la propria compliance, e la società deve poter rispondere praticamente in tempo reale.

A chi si applica? O meglio … chi lo deve rispettare

Tutte le società che gestiscono dati di cittadini europei.

È importante capire e fare capire ai clienti che queste leggi si applicano a tutti indipendentemente da dove fisicamente il dato risiede.
Le implicazioni sono importanti : anche I provider, cloud USA ad esempio, seppur non siano basati in europa, SONO INCLUSI , se trattano tali dati.

GDRP quindi chiede alle aziende di ….

Implementare le giuste ed approriate misure di sicurezza per proteggere I dati personali.
Notificare I coinvolti ad ogni livello e l’autorità.
Pagare multe in caso di comprovato incidente ai dati personali ( doloso o meno che esso sia …. )

Occhio alle SANZIONI…

  • Anche l’amministratore di sistema e il titolare del trattamento dei dati sottoposti ad esempio alla cifratura da un KryptoVirus, tuttavia, non possono dormire sonni tranquilli nell’ipotesi in cui non abbiano curato adeguatamente le misure di sicurezza dei sistemi informatici e dell’organizzazione che ha subito l’attacco informatico.
  • Ove dovesse rilevarsi, a seguito del danno subito dall’azienda e dai clienti della stessa, una mancata o inadeguata formazione del personale dipendente, ovvero una mancata o inadeguata adozione di misure di sicurezza, si applicherebbero le sanzioni civili e penali previste dal D.Lgs. 196/2003, che prevedono fino a due anni di arresto e fino a 120.000 euro di sanzione amministrativa, a seconda delle responsabilità accertate.

Riassumendo:

  • è necessario eleggere e/o assumere un DPO: Il Data Protection Officer (Responsabile della Protezione dei Dati), una figura importante e centrale nell’ambito del GDPR, è il soggetto, all’interno di organizzazioni complesse, cui demandare il coordinamento della necessaria attuazione delle norme previste dal Regolamento.
  • è necessario adottare processi e politiche volte a dare alle persone maggiore controllo sui propri dati;
  • è necessario informare ed aggiornare il personale;
  • è necessario riscrivere manuali e procedure, adeguando la privacy alle nuove norme europee;
  • è necessario richiedere ai propri fornitori l’adeguamento alla normativa;
  • è necessario adeguare i propri sistemi informatici, mantenendoli sempre aggiornati (patch) e monitorati;
  • è necessario implementare soluzioni di security che consentano di prevenire gli accessi non autorizzati, garantire agli utenti di accedere nel modo corretto e “securizzato” alle risorse, ai siti, alle applicazioni ed ai dati, DB inclusi;
  • è necessario eseguire periodicamente l’analisi e il monitoraggio della vulnerabilità in rete e la sicurezza informatica per infrastrutture web e web application.
Vuoi maggiori informazioni sul GDPR e su come Computer srl può aiutarti?