GDPR

Cosa vuole dire e cosa è il GDPR?
The General Data Protection Regulation (GDPR) una nuova LEGGE EUROPEA decisa e scritta nel dicembre 2015, e sarà effettiva agli inizi del 2018
Scopo: rimuovere la complessità che il business incontra ad oggi per rispettare le molteplici e diverse regolamentazioni locali attraverso tutta Europa ( ad oggi 28 schemi diversi …. ).
Il GDPR unifica ed accomuna la legislazione relativa alla data protection in Europa, semplificando i processi e rendendo uguali per tutti gli obblighi legali per qualsiasi stato che lavori/commerci/interagisca con più di uno stato in Europa.

Alcune delle Key Features
Personal data: Il GDPR è limitato ai dati personali. Ma la classificazione degli stessi cambia : Un esempio, NUOVO, è che un indirizzo IP che può identificare un device e quindi un utente deve essere trattato come DATO PERSONALE.
Data breach: Il GDPR definisce un “data breach” come una azione , accidentale o volontaria che ottiene/porta alla distruzione, perdita, alterazione, accesso non autorizzato o diffusione non autorizzata di dati personali, siano essi trasmessi, depositati o in qualsivoglia modo trattati . La perdinata/etc di dati CIFRATI non costituisce un “data breach”, e molte aziende, erroneamente, stanno usando questa “voce” per cifrare più dati di quanti davvero ne servano.
Continuous compliance and audit: GDPR introduce il concetto di Compliance continua : yearly, every 6months, monthly, weekly. In qualsivoglia momento, un auditor può chiedere ad una azienda di dimostrare la propria compliance, e la società deve poter rispondere praticamente in tempo reale.

A chi si applica? O meglio … chi lo deve rispettare
Tutte le società che gestiscono dati di cittadini europei.
È importante capire e fare capire ai clienti che queste leggi si applicano a tutti indipendentemente da dove fisicamente il dato risiede.
Le implicazioni sono importanti : anche I provider, cloud USA ad esempio, seppur non siano basati in europa, SONO INCLUSI , se trattano tali dati.

GDRP quindi chiede alle aziende di ….
Implementare le giuste ed approriate misure di sicurezza per proteggere I dati personali.
Notificare I coinvolti ad ogni livello e l’autorità.
Pagare multe in caso di comprovato incidente ai dati personali ( doloso o meno che esso sia …. )

Occhio alle SANZIONI…
•Anche l’amministratore di sistema e il titolare del trattamento dei dati sottoposti ad esempio alla cifratura di un KryptoVirus, tuttavia, non possono dormire sonni tranquilli nell’ipotesi in cui non abbiano curato adeguatamente le misure di sicurezza dei sistemi informatici e dell’organizzazione che ha subito l’attacco informatico.
Ove dovesse rilevarsi, a seguito del danno subito dall’azienda e dai clienti della stessa, una mancata o inadeguata formazione del personale dipendente, ovvero una mancata o inadeguata adozione di misure di sicurezza, si applicherebbero, le sanzioni civili e penali previste dal D.Lgs. 196/2003, che prevedono fino a due anni di arresto e fino a 120.000 euro di sanzione amministrativa, a seconda delle responsabilità accertate.

Riassumendo:
-è necessario eleggere e/o assumere un DPO: Il Data Protection Officer (Responsabile della Protezione dei Dati), una figura importante e centrale nell’ambito del GDPR, è quel soggetto, all’interno di organizzazioni complesse, cui demandare il coordinamento della necessaria attuazione delle norme previste dal Regolamento.
-è necessario adottare processi e politiche volte a dare alle persone maggiore controllo sui propri dati
-è necessario informare ed aggiornare il personale
-è necessario riscrivere manuali e procedure, adeguando la privacy alle nuove norme europee
-è necessario richiedere ai propri fornitori l’adeguamento alla normativa
-è necessario adeguare i propri sistemi informatici, mantenendoli sempre aggiornati (patch) e monitorati
-è necessario implementare soluzioni di Security che consentano di prevenire gli accessi non autorizzati, garantire agli utenti di accedere nel modo corretto e securizzato alle risorse, ai siti, alle applicazioni ed ai dati, DB inclusi
-è necessario eseguire periodicamente l’analisi e il monitoraggio della vulnerabilità in rete e la sicurezza informatica per infrastrutture web e web application.