GDPR: cosa fare per mettersi in regola

Tabella dei contenuti

Il 25 maggio 2018 è il termine ultimo per mettersi in regola con il GDPR, General Data Protection Regulation, ovvero il Regolamento generale sulla protezione dei dati nell’unione Europea. Tutte le aziende e le pubbliche amministrazioni devono adeguarsi a pena di potenziali multe salatissime: fino a 20 milioni di euro. 

DI COSA SI TRATTA?

Il GDPR è prima di tutto una normativa chiara e precisa sulla protezione dei dati personali entro i confini UE e regola anche  il tema dell’esportazione dei dati personali al di fuori dei confini UE. Per dirla con parole semplici le aziende devono controllare dove sono i dati personali e garantire che siano protetti. 

Con il GDPR vengono rafforzati i diritti degli individui e la protezione dei loro dati. Questo si traduce nella possibilità di accedere più facilmente agli stessi, nel diritto a essere informati su come i propri dati vengono utilizzati e gestiti, nel diritto a trasferire i propri dati tra diversi fornitori in formato aperto. Inoltre ogni individuo che non vuole più che i propri dati vengano trattati, e dimostra come non ci sia motivo per conservarli, può esigere la loro cancellazione.

Non devono essere protetti solo i dati, la sicurezza dovrà essere fatta su più livelli, così che i dispositivi e la rete siano in sicurezza, e anche tutti i dipendenti dovranno essere istruiti per un utilizzo sicuro del sistema.

Il Regolamento applica integralmente il principio Privacy By Design e By Default, cui ogni sistema deve adeguarsi: non solo il consenso al trattamento dei dati deve essere sempre valido, ma la salvaguardia della protezione dei dati deve essere integrata in prodotti e servizi sin dalla fase iniziale dei processi.

LA ROADMAP PER ADEGUARSI CORRETTAMENTE

INFORMAZIONE

Per adeguarsi correttamente il primo passo da fare è rendere noti i punti fondamentali della riforma a tutti all’interno dell’azienda e soprattutto a coloro che hanno budget e potere decisionale, nonché ai ruoli chiave nella vostra organizzazione.

AUDIT

Il secondo passo è fare una valutazione corretta e precisa della situazione odierna all’interno dell’azienda. Analizzando la situazione dei dati odierna, e ottenendone una visione realistica, si può capire dove bisogna intervenire. 

CONTROLLO DEGLI ACCESSI

Un altro passo fondamentale è sapere chi ha accesso ai dati dell’azienda, sia tenendo traccia di chi accede, sia per prevenire qualsiasi violazione che permetta l’accesso a tutto il sistema. Se le azioni da amministratore possono essere fatte da un cerchio ristretto di persone è possibile minimizzare il rischio che altri ottengano il controllo completo alla rete. Riconoscere con accuratezza gli utenti, i device da cui provengono le richieste di accesso ai dati, è inoltre indipensabile per capire chi ha copiato, modificato un file e in quale momento lo ha fatto.

ACCOUNTABILITY 

Occorre poter dimostrare l’adeguatezza dei propri processi di compliance. Sarà quindi necessario produrre una documentazione descrittiva e accurata di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all’accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora. Questo perchè i controlli saranno serrati e bisognerà dimostrare quali  strumenti vengono usati per anonimizzare (rimozione dati) pseudonimizzare (sostituzione di dati personali, utilizzata spesso quando si fanno test applicativi) e crittografare (codifica dei dati personali) tutti i dati.

INVESTIRE NELLA SICUREZZA INFORMATICA

Implementare una sicurezza stratificata molto seria dal punto di vista informatico è il passo finale. Servirà per rispondere ad eventuali violazioni. Per questo motivo la prevenzione è alla base di tutto. Una regolare scansione e update dei software del sistema è d’obbligo. Non basteranno tradizionali difese come l’antivirus e l’UTM del Firewall, ma saranno indispensabili update regolari dei sistemi di sicurezza e dei software, fondamentali per il mantenimento in sicurezza dell’infrastruttura. Inoltre l’utilizzo di software di vulnerability scan, investendo quindi in nuovi dispositivi più sicuri e apportando i giusti sistemi di sicurezza, eviterà possibili potenziali violazioni. Formare i dipendenti sui rischi degli attacchi informatici è altrettanto importante: la maggior parte degli attacchi informatici sono dovuti a errori da parte dei dipendenti.

DATA PROTECTION OFFICER

Il primo o l’ultimo passo è anche identificare in azienda una figura che assuma il ruolo di Data Protection Officer. Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà, così come cita il regolamento “possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.”  Questa figura sarà presente in occasione di tutti i controlli da parte delle autorità competenti.

Prodotti correlati

Privacy in cloud
Privacy in Cloud
Scopri Privacy in Cloud, il Software per la gestione della privacy che ti permette di adeguarti al nuovo Regolamento Europeo sulla Privacy (GDPR)
Richiedi una consulenza gratuita e senza impegno

Se vuoi approfondire, hai domande o suggerimenti scrivici senza impegno!

Articoli correlati

GDPR privacy
GDPR: la tua azienda si è adeguata?
A oltre un mese dall’entrata in vigore del GDPR, facciamo chiarezza sul nuovo Regolamento sulla Privacy. Le novità e i nuovi diritti del cittadino europeo
gdpr gestione privacy le opportunità
GDPR: un’opportunità per le aziende
Il GDPR, in vigore da maggio 2018, è una grande opportunità per le aziende, per razionalizzare i processi e offrire maggiore sicurezza ai clienti. Scopri perché
cyber security
Midyear Cybersecurity Report 2017: lo IoT rende le aziende più vulnerabili?
Lo IoT rende le aziende più vulnerabili agli attacchi informatici: lo dice il Midyear Cybersecurity Report di Cisco. Scopri come difenderti!

rimaniamo in contatto

La nostra newsletter

Aggiornamenti, nuove soluzioni, webinar ed eventi: ogni mese ci impegniamo a creare dei contenuti che crediamo di valore e che condividiamo con chi si iscrive alla nostra newsletter.

Compili il seguente modulo per richiedere una consulenza

Consulenza per: GDPR: cosa fare per mettersi in regola