Seguici su Facebook Seguici su Instagram

GDPR 2018

   



Che cos’è il GDPR? 

General Data Protection Regulation.

E’ il regolamento europeo sulla protezione dei dati personali che, a partire dal 25 MAGGIO 2018, sostituisce e integra le leggi esistenti sulla protezione dei dati in tutti gli Stati membri dell'UE.
Lo scopo del regolamento è di proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dall’accesso o divulgazione non autorizzati, e da qualsiasi altra forma illecita di trattamento. 
GDPR sarà applicato inderogabilmente dal 25 MAGGIO 2018.

 

La decisione del Regno Unito di lasciare l'UE non ne influenzerà l'entrata in vigore.

 

A chi si applica il regolamento GDPR?

Il GDPR vale per i soggetti e le organizzazioni che trattano dati personali all’interno dell’UE o trattano dati fuori dall’UE, ma che fanno riferimento a cittadini europei.

 

I titolari del trattamento dei dati personali sono persone fisiche o “persone giuridiche”, e sono coloro che determineranno le finalità, le condizioni e gli strumenti per il trattamento dei dati personali. Titolare potrebbe essere ad esempio un medico con i dati dei pazienti.

 

I responsabili del trattamento sono le entità che elaborano i dati per conto dei titolari del trattamento. Ad esempio un'organizzazione che memorizzi, digitalizzi e cataloghi tutte le informazioni prodotte su carta da parte di una banca.

 

A quali dati si applica il GDPR? 
 

Il GDPR si applica a tutti i dati personali.
I dati personali sono informazioni che possono essere utilizzate, da sole o con altre informazioni, per identificare l'utente come persona
Ad esempio (ma non limitato a):

 

Nome, cognome, indirizzo, numero di telefono, documentazione sanitaria...

  

Come fanno le organizzazioni a raggiungere la conformità sul GDPR?

Esse devono elaborare tutti i dati personali in modo lecito, con correttezza e in modo trasparente.
I dati personali devono essere rilevati solo per finalità determinate, esplicite e legittime.
I dati personali devono essere elaborati in modo da garantire l’adeguata sicurezza degli stessi.
“Privacy by design”: il tema della privacy by design permea il GDPR, con l'obiettivo che la sicurezza sia considerata come parte fondamentale già in fase di progetto e di utilizzo di tutti quei prodotti o servizi che gestiscano dati personali.
Le aziende dovranno implementare la privacy fin dall'inizio di qualsiasi progetto che coinvolga informazioni personali.
Responsabili della protezione dei dati (DPO) sono necessari quando:
Il trattamento dei dati personali è ad opera di autorità pubbliche.

L'elaborazione viene eseguita dai soggetti che regolarmente e sistematicamente trattano dati personali su larga scala.

 

Il soggetto tratta su larga scala categorie specifiche di dati ‘speciali’, ad esempio idonei a rivelare:

 

  • salute 
  • origine razziale o etnica
  • opinioni politiche
  • convinzioni religiose o filosofiche
  • appartenenza a sindacati
  • condanne penali
     
Si noti che anche se una prima bozza della GDPR limitava l’obbligatorietà del DPO alle aziende con più di 250 dipendenti o che trattano dati personali per 5.000 o più soggetti, la versione finale non ha alcuna restrizione in merito.

 

Le organizzazioni dovranno quindi considerare:  
 

  • Di quali dati personali sono titolari.
  • Dove i dati personali vengono memorizzati.
  • Come i dati personali vengono memorizzati.
  • Chi può accedere ai dati personali.
  • Come si ottiene l'accesso ai dati personali.
  • Chi sta monitorando i dati personali.
  • Come i dati personali sono accessibili su richiesta.
  • Come i dati personali possono essere cancellati su richiesta.

 

GDPR: Data Breach

Il GDPR definisce la violazione dei dati come una violazione della sicurezza che conduce ad accesso, distruzione, perdita, alterazione o divulgazione non autorizzata dei dati personali.

Questo significa che una violazione dei dati è molto più della sola perdita dei dati personali.
Ad esempio:
  • Un ospedale potrebbe essere responsabile di una violazione se la cartella clinica di un paziente risultasse accessibile in modo inappropriato a causa di una mancanza di adeguati controlli interni. 
  • Una banca potrebbe essere responsabile di una violazione se i dati personali dei loro clienti venissero distrutti a causa di un'infezione da “ransomware”.
Una violazione dei dati potrebbe essere causata dall'interno.
Ad esempio:
  • Perdita accidentale dei dati personali, ad esempio attraverso lo smarrimento di un laptop o di un dispositivo mobile non crittografati.
  • Divulgazione accidentale dei dati personali, ad esempio l’invio di una email contenente dati personali non crittografati al di fuori dell’organizzazione.
  • Furto deliberato dei dati personali, ad esempio l’esportazione con dispositivi di archiviazione USB.
Una violazione dei dati potrebbe essere causata dall'esterno.
Ad esempio:
  • Attacco mirato ai sistemi che contengono dati personali.
  • Perdita dei dati portata dall’infezione dei sistemi da parte di un “malware”.

 

GDPR Notifica Violazione dei Dati

I titolari del trattamento sono tenuti a segnalare una violazione dei dati all'autorità di vigilanza competente senza indebito ritardo.

  • Nel caso in cui la violazione dei dati personali possa provocare un rischio elevato ai diritti e le libertà di un soggetto, il titolare del trattamento deve comunicare la violazione all'interessato senza indebito ritardo.
  • Nel caso in cui la violazione non arrechi un rischio per i diritti e le libertà delle persone interessate, andrà comunicata entro e non oltre le 72 ore successive dalla scoperta

 

 

LA SOLUZIONE GEFX

 

Con queste premesse GFX, supportata da personale qualificato e certificato, ha ideato un processo “tailor made” per guidare le aziende nell’intricata galassia dell’applicazione del GDPR:  
  • Consulenza: Introduzione al nuovo GDPR; quali impatti, responsabilità, sanzioni, approccio metodologico. 
  • Assessment: analisi dei rischi e dell’impatto del nuovo GDPR sull’azienda, GAP Analysis AS IS - TO BE 
  • Disegno di processo: consulenza nel disegno di nuovi processi operativi 
  • Tool di supporto: basato sulla struttura organizzativa dell’azienda, identifica i responsabili del trattamento, monitora la correttezza dell’applicazione del GDPR sui processi aziendali, segnala le NON Conformità nel trattamento e suggerisce le azioni correttive necessarie.
  • Programma Corsi: Una serie di corsi mirati per gli utenti, per il board e un corso dedicato per la formazione del DPO
     

Supportata direttamente dai Vendor quali:

  • Acronis: soluzioni di backup crittografato, sia on-premise che in cloud certificato sito nell’UE, che permettono il salvataggio e il ripristino dal singolo file/mail/database all’intero device (computer, server, smartphone, tablet…) sia fisico che virtuale, nonché di ambienti di lavoro cloud (Azure, AWS, Office365…)
  • Bitdefender e Kaspersky Lab come protezione per gli Endpoint, anelli di congiunzione tra IT e persone: i security tools offrono funzionalità antimalware, personal firewall, device control, content filtering e DLP, sia con gestione on-premise che in cloud.
  • SG BOX: una piattaforma SIEM modulare per il controllo e la gestione della sicurezza ICT. Integrando gli eventi raccolti da diverse fonti, lo stato dell’hardware e il rilevamento di vulnerabilità software, un correlatore segnala la nascita e l’evoluzione di ogni comportamento anomalo consentendo la messa in campo di contromisure automatiche
  • Watchguard: Next-Generation firewall che implementano sia la prima linea di difesa contro gli attacchi dall’esterno che l’ultima contro la perdita di dati
  • G-Square: la soluzione ITSM, Service Desk e Help Desk che integra gli strumenti fondamentali di gestione del patrimonio IT in un unico software. I suoi numerosi moduli includono un potente Help Desk, IT Asset Management, IT Asset Inventory e gli strumenti necessari per analizzare e ottimizzare le performance dell’IT.


 

GFX è in grado di accompagnarvi a 360° nel processo di compliance al GDPR 

   
Vuoi diventare Rivenditore

INFO