Il 24 Maggio 2016 è entrato in vigore il nuovo regolamento sulla protezione dei dati, il cosiddetto GDPR. Si tratta del Regolamento UE 2016/679 (General Data Protection Regulation, in breve GDPR).
Il prossimo 25 maggio 2018 il regolamento diventerà operativo, pertanto entro questa data si dovranno adottare tutte le misure per essere conformi alla nuova normativa.
A Cosa Serve?
Il legislatore ha voluto dare regole chiare e uniche per tutti gli stati dell’UE. Ma il regolamento va oltre
perché impone di trattare (e proteggere) i dati come si fa nella UE anche per società esterne all’UE ma che
trattano dati e/o vendono beni e/o servizi a soggetti che si trovano all’interno della UE.
L’obiettivo finale di questo regolamento è accrescere la fiducia del cittadino nel consegnare i propri dati
avendo la certezza che verranno trattati in maniera conforme al regolamento da tutti i paesi dell’UE.
Per le aziende cambia la visione generale del dato: si passa da obblighi e adempimenti relativi alla privacy
a una vera e propria gestione della “privacy” stessa e dei rischi che il trattamento dei dati comporta, il che
significa che occorre fare un’analisi sull’impatto che il trattamento comporta e dei rischi e poi intraprendere
opportune misure per mitigare questi rischi.
Valutazione dei rischi e misure per mitigarli
Le misure da mettere in atto per mitigare i rischi sono indissolubilmente legate al tipo di attività, al tipo di
dati trattati e alle modalità di trattamento che determinano l’esistenza (o meno) dei rischi stessi in quella
determinata organizzazione.
Tuttavia poiché nella maggior parte dei casi il trattamento avviene in formato elettronico, possiamo
delineare un insieme di strategie e prodotti trasversali rispetto al tipo di dati trattato e alle modalità di
trattamento (vista l’attività dell’azienda).
Dato che non esiste una lista “di misure minime” da adottare, il lavoro sarà quello di effettuare un analisi approfondita dei dati trattati, delle modalità e dei possibili rischi legati alle criticità rilevate. Una volta individuate quest’ultime in funzione dei potenziali rischi e dello “stato dell’arte” verranno valutate le misure necessarie.
Le misure potranno essere applicate al contesto operativo, agli strumenti utilizzati e al comportamento degli utenti operatori che tratteranno i dati.
Alcune misure
- Sicurezza perimetrale e UMT - Firewall Sonicwall
- Sicurezza Endpoint - Antivirus WebRoot
- Monitoraggio Proattivo e aggiornamenti patch di sicurezza programmati
- AntiSpam Avanzato
- Archiviazione e conservazione posta elettronica
- Backup locale e il cloud
- Disaster Recovery e Business Continuity
- Programmi assicurativi contro i cyber crimini
- Raccolta log d'accesso e correlazione eventi
- Vulnerability assessment & Penetration Test
- File e device Encryption
- Software data lost prevention (DLP)
Breve articolo su data protection e dati personali
Brochure Sistemi Open GDPR