Condividi

GDPR: cosa fare per mettersi in regola

 

Il 25 maggio 2018 è il termine ultimo per mettersi in regola con il GDPR, General Data Protection Regulation, ovvero il Regolamento generale sulla protezione dei dati nell'unione Europea. Tutte le aziende e le pubbliche amministrazioni devono adeguarsi a pena di potenziali multe salatissime: fino a 20 milioni di euro. 

 

PDCA process

 

DI COSA SI TRATTA?

Il GDPR è prima di tutto una normativa chiara e precisa sulla protezione dei dati personali entro i confini UE e regola anche  il tema dell'esportazione dei dati personali al di fuori dei confini UE. Per dirla con parole semplici le aziende devono controllare dove sono i dati personali e garantire che siano protetti. 

Con il GDPR vengono rafforzati i diritti degli individui e la protezione dei loro dati. Questo si traduce nella possibilità di accedere più facilmente agli stessi, nel diritto a essere informati su come i propri dati vengono utilizzati e gestiti, nel diritto a trasferire i propri dati tra diversi fornitori in formato aperto. Inoltre ogni individuo che non vuole più che i propri dati vengano trattati, e dimostra come non ci sia motivo per conservarli, può esigere la loro cancellazione.

Non devono essere protetti solo i dati, la sicurezza dovrà essere fatta su più livelli, così che i dispositivi e la rete siano in sicurezza, e anche tutti i dipendenti dovranno essere istruiti per un utilizzo sicuro del sistema.

Il Regolamento applica integralmente il principio Privacy By Design e By Default, cui ogni sistema deve adeguarsi: non solo il consenso al trattamento dei dati deve essere sempre valido, ma la salvaguardia della protezione dei dati deve essere integrata in prodotti e servizi sin dalla fase iniziale dei processi.

LA ROADMAP PER ADEGUARSI CORRETTAMENTE

INFORMAZIONE

Per adeguarsi correttamente il primo passo da fare è rendere noti i punti fondamentali della riforma a tutti all'interno dell'azienda e soprattutto a coloro che hanno budget e potere decisionale, nonché ai ruoli chiave nella vostra organizzazione.

AUDIT

Il secondo passo è fare una valutazione corretta e precisa della situazione odierna all'interno dell'azienda. Analizzando la situazione dei dati odierna, e ottenendone una visione realistica, si può capire dove bisogna intervenire. 

CONTROLLO DEGLI ACCESSI

Un altro passo fondamentale è sapere chi ha accesso ai dati dell'azienda, sia tenendo traccia di chi accede, sia per prevenire qualsiasi violazione che permetta l'accesso a tutto il sistema. Se le azioni da amministratore possono essere fatte da un cerchio ristretto di persone è possibile minimizzare il rischio che altri ottengano il controllo completo alla rete. Riconoscere con accuratezza gli utenti, i device da cui provengono le richieste di accesso ai dati, è inoltre indipensabile per capire chi ha copiato, modificato un file e in quale momento lo ha fatto.

ACCOUNTABILITY 

Occorre poter dimostrare l'adeguatezza dei propri processi di compliance. Sarà quindi necessario produrre una documentazione descrittiva e accurata di tutti i processi di trattamento con dettaglio di tipo di dati e finalità, categoria di interessati, origine e destinazione dei dati, funzioni autorizzate all'accesso, terzi intervenienti, termini di conservazione, misure di sicurezza, e altro ancora. Questo perchè i controlli saranno serrati e bisognerà dimostrare quali  strumenti vengono usati per anonimizzare (rimozione dati) pseudonimizzare (sostituzione di dati personali, utilizzata spesso quando si fanno test applicativi) e crittografare (codifica dei dati personali) tutti i dati.

INVESTIRE NELLA SICUREZZA INFORMATICA

Implementare una sicurezza stratificata molto seria dal punto di vista informatico è il passo finale. Servirà per rispondere ad eventuali violazioni. Per questo motivo la prevenzione è alla base di tutto. Una regolare scansione e update dei software del sistema è d'obbligo. Non basteranno tradizionali difese come l'antivirus e l'UTM del Firewall, ma saranno indispensabili update regolari dei sistemi di sicurezza e dei software, fondamentali per il mantenimento in sicurezza dell'infrastruttura. Inoltre l'utilizzo di software di vulnerability scan, investendo quindi in nuovi dispositivi più sicuri e apportando i giusti sistemi di sicurezza, eviterà possibili potenziali violazioni. Formare i dipendenti sui rischi degli attacchi informatici è altrettanto importante: la maggior parte degli attacchi informatici sono dovuti a errori da parte dei dipendenti.

DATA PROTECTION OFFICER

Il primo o l'ultimo passo è anche identificare in azienda una figura che assuma il ruolo di Data Protection Officer. Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà, così come cita il regolamento “possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.”  Questa figura sarà presente in occasione di tutti i controlli da parte delle autorità competenti.

0
ISCRIVITI ALLA NEWSLETTER RICHIEDI INFORMAZIONI