Cos'è il GDPR ?

Il problema del controllo dei dati personali da parte degli aventi diritto, ovvero i cittadini, è oggi di enorme rilevanza. Chiunque quotidianamente è fruitore entusiasta di servizi che negli anni ’60 erano considerati pura fantascienza, servizi tuttavia che fondano spesso la propria ragion d’essere su una raccolta indiscriminata di dati personali. Le aziende sono ovviamente le prime a usufruire delle grandi possibilità offerte dalle nuove tecnologie, elaborando campagne di marketing che spesso, per inconsapevolezza di chi le organizza, ledono i diritti dei fruitori di quei servizi, in quanto i dati raccolti sono utilizzati per profilare l’utilizzatore, ovvero stabilirne e prevederne il comportamento in termini di preferenze, gusti e le posizioni personali senza una corretta comunicazione verso l’utente proprietario di quei dati.

regolamento generale sulla protezione dei dati o GDPR

Se da un lato le aziende gestiscono sempre più informazioni, dall’altro queste informazioni sono organizzate in sistemi non idonei e poco protetti. Sono i numeri a testimoniarlo; fonti autorevoli quali il rapporto Clusit o il rapporto annuale dell’autorità garante in materia di protezione dei dati personali concordano nel descrivere il 2017 come l’anno più buio: si quantificano in nove miliardi di euro i danni causati da incidenti di sicurezza che hanno colpito le aziende italiane.

Il Regolamento 2016/679 del Parlamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali diventerà pienamente esecutivo a partire dal 25 maggio 2018. Il regolamento, altresì abbreviato con la sigla "GDPR", General Data Protection Regulation, disciplina l’ambito della corretta gestione dei dati appartenenti alle persone fisiche, facilitando le aziende nell’effettuare trattamenti relativi a qui dati in modo chiaro, lecito, legittimo e pertinente, nello stesso tempo offre al cittadino, l’interessato, strumenti giuridici per far valere i propri diritti, qualora i dati personali di sua proprietà non siano stati trattati in modo corretto.

L’adeguamento al regolamento europeo è una enorme opportunità per le aziende per migliorare il proprio sistema informativo aziendale, implementando strumenti e procedure in grado di valutare l’esattezza del dato che tratta e soprattutto mitigando le rischiosità legate a minacce di accessi esterni illeciti.

GDPR

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).(fonte:Wikipedia)

MENO DI UN TERZO DELLE AZIENDE È PREPARATO ALL’ENTRATA IN VIGORE DEL GDPR

Il regolamento europeo sulla protezione dei dati personali entra pienamente in vigore alla fine di maggio 2018. Diverse ricerche di mercato testimoniano pesanti lacune e mancanza di consapevolezza da parte delle aziende verso questo importante appuntamento. Meno di un terzo delle imprese è preparata ad adeguarsi al GDPR. Il 97% delle aziende non ha un piano per essere conforme alla normativa europea. Solo il 9% dei professionisti IT e business è sicuro di essere pronto per il GDPR.

il termine per l'adeguamento è scaduto ma c'è ancora tempo

Quali cambiamenti comporta il GDPR?

Principio di accountability

Il GDPR introduce il principio della responsabilizzazione del Titolare del trattamento dei dati. Che cosa significa responsabilizzazione? Il legislatore si aspetta che il titolare del trattamento o il responsabile del trattamento siano consapevoli di cosa significhi trattare dati personali, ciò significa concretamente che il titolare debba descrivere proceduralmente come i dati personali sono trattati/organizzati, quali sono i rischi legati a quei trattamenti e in virtù di questa misurazione metta in atto misure tecniche ed organizzative adeguate, con la finalità di rendere tali rischi accettabili, ovvero affinché non rappresentino una minaccia per i diritti e le libertà fondamentali delle persone fisiche.

Privacy by design e privacy by default

La normativa europea attraverso l’art. 25 declina due principi che devono sottendere tutti i trattamenti effettuati da un titolare, tali principi sono denominati privacy by design e privacy by default.

Per privacy by design: fin dalla fase di progettazione dei servizi erogati dalla sua organizzazione il Titolare del trattamento mette in delle misure tecniche ed organizzative volte a proteggere in modo adeguato il dato personale trattato. Esempio: sono un titolare, la mia organizzazione eroga servizi di commercio elettronico in ambito alimentare, prevedo fin dalla fase progettuale di utilizzare la crittografia per proteggere la banca dati che conterrà quelle informazioni.

Privacy by default: il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate così da trattare solo la minima quantità di dati personali all’atto dell’erogazione di un servizio. Esempio: se sono un titolare e la mia organizzazione eroga servizi legati ai social network, quando un utente si iscrive per la prima volta, il comportamento predefinito del sistema deve impedire agli altri utenti di accedere alle informazioni che l’utente inserisce. Sarà l’utente nella fase di configurazione a impostare gli accessi ai contenuti, da una situazione di totale chiusura - nessun accesso salvo il proprietario dei contenuti - a una situazione di parziale accesso da parte degli utenti autorizzati dal proprietario dei contenuti.

Data Protection Officer

Il Data Protection Officer (DPO) è una figura di indirizzo e di controllo che può essere interna (dipendente) o esterna (consulente) alla struttura. Nel caso sia un dipendente, il ruolo del DPO non deve entrare in conflitto con altri ruoli all’interno dell’organizzazione. Il DPO ha il compito di aiutare e consigliare il titolare del trattamento in merito agli obblighi derivanti dall’applicazione del regolamento in relazione ai trattamenti effettuati dall’organizzazione. Ha il compito di sensibilizzare e formare chi all’interno dell’organizzazione si occupa di trattare dati personali ed infine ha l’obbligo di cooperare con le autorità competenti. La nomina del DPO è obbligatoria in determinati casi, normati dall’art. 37 del GDPR. Il DPO.

Data Protection Impact Assessment

Il Data Protection Impact Assessment (DPIA) o valutazione d'impatto sulla protezione dei dati è un altro obbligo in capo al titolare. Nel caso l’analisi delle rischiosità correlate ai trattamenti effettuati sia considerata elevata, magari a causa di nuove tecnologie adottate, dunque rappresenti un rischio grave per le libertà e i diritti fondamentali delle persone fisiche, il titolare mette in atto una procedura di valutazione di impatto relativa a quello o quei trattamenti nel tentativo di riportare il rischio ad un livello accettabile. Nel caso sia nominato un DPO il titolare può ricorrere alla consulenza di quest’ultimo nell’elaborare tale documento.

Data Breach

Per Data Breach si intende una violazione dei dati personali ovvero un’azione accidentale o illecita che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Qualora si verifichi un incidente di sicurezza di tale natura, dopo il 25 maggio 2018 il Titolare ha l'obbligo di notificarlo all'Autorità garante competente entro 72 ore.

Sanzioni

Violare il GDPR o non essere conformi a tale regolamento rispetto ai trattamenti effettuati comporta sanzioni pesanti, che possono variare da una mera diffida amministrativa a sanzioni penali e/o civili con multe che possono arrivare fino a 20 milioni di euro o nel caso sia superiore ai 20 milioni di euro il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

PRIVACY BY DESIGN E PRIVACY BY DEFAULT

Cosa fare per adeguarsi al GDPR ?

La responsabilizzazione o accountability del Titolare di un’organizzazione, sia questa privata o pubblica, comporta la produzione e la documentazione delle procedure necessarie volte a dimostrare la conformità al regolamento dei trattamenti effettuati da quell’organizzazione. In quest’ottica diventa di fondamentale importanza valutare la propria struttura informatica, hardware e/o software, il sistema informativo in generale, in quanto non bisogna mai dimenticare che il regolamento europeo si applica anche ai dati personali memorizzati su supporto analogico, la carta. Non solo, poiché il presidio tecnologico è importante tanto quanto la consapevolezza di chi lo utilizza, fondamentale diventa pianificare la formazione delle differenti figure aziendali che saranno coinvolte a vario titolo nel trattamento del dato personale di un interessato.

L’adeguamento al GDPR non è solo un obbligo, è un’opportunità per le aziende/organizzazioni per migliorare il proprio sistema informativo aziendale, implementando strumenti e procedure in grado di valutare l’esattezza del dato che tratta e soprattutto mitigando le rischiosità legate a minacce di accessi esterni illeciti.

GDPR

La Soluzione al GDPR !

Cosa fare per mettersi in regola ? Cosa fare per essere GDPR compliant ? Queste sono le domande che molte aziende/enti pubblici si pongono. Noi di Datek Sistemi abbiamo sempre avuto a cuore la vostra infrastruttura informatica, mettendovi a disposizione una vasta gamma di Gruppi di Continuità, ideata per proteggere i vostri dati e dare continuità al vostro business. Oggi per una azienda la tutela dei dati e la capacità di continuare a erogare prodotti/servizi è una necessità, a questo proposito DATEK SISTEMI mette a disposizione del Cliente una serie di figure Professionali che lo possano seguire per ottemperare correttamente alle disposizioni contenute nel regolamento in modo che tutti i trattamenti effettuati siano conformi al GDPR.

Il percorso di adeguamento al GDPR si articola in pochi step (raccolta di informazioni, analisi dei rischi, formazione, implementazione delle mitigazioni) nei quali, identificheremo tutte quelle azioni da implementare nella Vs. azienda per essere GDPR compliance.

DATEK SISTEMI SOLUZIONE AL GDPR

il termine per l'adeguamento è scaduto ma c'è ancora tempo

DATEK SISTEMI S.r.l. | P.IVA IT01291190203 | Privacy Policy