Soluzioni per il GDPR

General Data Protection Regulation

Il General Data Protection Regulation (GDPR), in atto dal 25 maggio 2018, è il regolamento Europeo che disciplina le modalità con cui le organizzazioni raccolgono, gestiscono e conservano i dati personali dei cittadini dell’Unione Europea.

L’intento è quello di garantire la tutela dei diritti dei cittadini, aumentando il controllo sull’utilizzo dei dati e rafforzando i diritti connessi alla privacy.

Il GDPR si pone i seguenti obbiettivi:

  • armonizzare la regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea;
  • sviluppare un Mercato Unico Digitale (Digital Single Market) europeo;
  • rispondere alle nuove sfide derivate dalle nuove tecnologie digitali. 

Il GDPR si applica a qualsiasi organizzazione che gestisca dati di cittadini residenti nel territorio dell’UE, indifferentemente dal loro domicilio. Un chiaro riferimento alla sicurezza informatica si rinviene nell’art. 24 del Regolamento: esso prevede che il titolare del trattamento dei dati metta in atto misure tecniche e organizzative adeguate a garantire e dimostrare che il trattamento dei dati personali sia effettuato in maniera conforme al regolamento. Di particolare rilievo è l’art. 32 del regolamento, il quale porta da “minime” ad “adeguate” le misure per garantire la sicurezza dei dati.

 

unione europea

 

Ma cosa si intende quando si parla di sicurezza informatica? 

Con “sicurezza informatica” si intende il complesso delle misure volte a garantire la protezione hardware e software dei sistemi informatici e di tutti i dati in essi contenuti dagli accessi non autorizzati, al fine di evitarne la copia, la modifica e/o la cancellazione. Un sistema sicuro deve resistere a eventi imprevisti e azioni non legittime.

Garantire una sicurezza adeguata è sempre più complesso. La cybersecurity deve fare i conti con:

  • Lo sviluppo della tecnologia per l’elaborazione e il trattamento dei dati,
  • Il preoccupante aumento di attacchi e incidenti di natura informatica,
  • La crescente sofisticatezza degli hacker, che riescono ad aggirare le tradizionali barriere di sicurezza sfruttando le falle nei software.

È necessario munirsi di strumenti che permettano l’individuazione in tempi brevi di eventuali brecce nel sistema informatico, in modo da poter informare tempestivamente l’Autorità Garante e il soggetto dei dati interessati.

In quest’ottica, è fondamentale l’analisi sistematica delle vulnerabilità dei sistemi informatici, che permette di porli in sicurezza rispetto alle tecniche più o meno diffuse di attacchi, eliminando eventuali punti di debolezza determinanti per il successo dell’attacco. Durante questa fase di analisi si potranno individuare eventuali attacchi in essere, arginando i danni sia diretti, come il danno economico, che indiretti, come la reputazione.

Per proteggersi, si deve disporre di adeguati livelli di sicurezza per quanto concerne:

  • pseudonimizzazione e cifratura dei dati personali;
  • continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • ripristino della disponibilità e dell’accesso dei dati in caso di incidente;
  • verifiche regolari per valutare l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La tua azienda ne è provvista?

 

data breach

 

Privacy by design

Tra i principi di maggiore rilevanza del GDPR c’è quello della privacy by design. Questo prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale.

Al fine di garantire e dimostrare la conformità con il Regolamento, il responsabile del trattamento dei dati deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della privacy by design e della privacy by default. Il principio della privacy by default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

 

Notifica di violazione dei dati (Data Breach)

Ai sensi del GDPR, la notifica di violazione dei dati diventerà obbligatoria in tutti i casi in cui questa possa “comportare un rischio per i diritti e le libertà delle persone”. La notifica deve essere fatta entro 72 ore dalla prima conoscenza della violazione. I Responsabili del Trattamento dei dati saranno tenuti a notificarlo ai propri clienti e ai Titolari del Trattamento, “senza indebito ritardo”.

 

Sanzioni

Le organizzazioni che violano il GDPR possono essere multate fino al 4% del fatturato globale annuale o 20 milioni di euro (a seconda di quale sia il valore maggiore). È importante notare che queste regole si applicano sia ai Titolari del Trattamento (Controller) che ai Responsabili del Trattamento (Processor), il che significa che il “cloud” non sarà esentato dall’applicazione di GDPR.

 

computer
Condividi su: