General Data Protection Regulation

24 Maggio 2016

Il 24 Maggio 2016 è entrato in vigore il nuovo regolamento sulla protezione dei dati, il cosiddetto GDPR. Si tratta del Regolamento UE 2016/679 (General Data Protection Regulation, in breve GDPR)

25 maggio 2018

Il giorno 25 maggio 2018 il regolamento è diventato operativo, pertanto a partire da questa data devono essere adottate tutte le misure per essere conformi alla nuova normativa

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, […]mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”

Tratto dall’articolo 32 del GDPR

A cosa serve il nuovo GDPR?

Il legislatore ha voluto dare regole chiare e uniche per tutti gli stati dell’UE. Ma il regolamento va oltre perché impone di trattare (e proteggere) i dati come si fa nella UE anche per società esterne all’UE ma che trattano dati e/o vendono beni e/o servizi a soggetti che si trovano all’interno della UE.

Qual è l’obiettivo?

L’obiettivo finale di questo regolamento è accrescere la fiducia del cittadino nel consegnare i propri dati avendo la certezza che verranno trattati in maniera conforme al regolamento da tutti i paesi dell’UE.

Cosa cambia?

Per le aziende cambia la visione generale del dato: si passa da obblighi e adempimenti relativi alla privacy a una vera e propria gestione della “privacy” stessa e dei rischi che il trattamento dei dati comporta, il che significa che occorre fare un’analisi sull’impatto che il trattamento comporta e dei rischi e poi intraprendere opportune misure per mitigare questi rischi.

La differenza con il vecchio Decreto Legislativo

A differenza del vecchio Decreto Legislativo 196/2003 (Codice in materia di protezione dei dati personali) dove venivano dettate le linee guida con una vera e propria lista di “misure minime da adottare” nel GDPR non vi è evidenza di un elenco specifico di misure da adottare ma sarà il titolare del trattamento a decidere come gestire e trattare i dati, a valutarne i rischi, mettendo in atto le misure per minimizzare questi rischi, e dovrà essere in grado di dimostrare di aver fatto tutto questo.

Valutazione dei rischi e misure per mitigarli

Le misure da mettere in atto per mitigare i rischi sono indissolubilmente legate ad alcuni aspetti che determinano l’esistenza (o meno) dei rischi stessi in quella determinata organizzazione

Tipo di attività

Tipo di dati trattati

Modalità di trattamento

Tuttavia poiché nella maggior parte dei casi il trattamento avviene in formato elettronico, possiamo delineare un insieme di strategie e prodotti trasversali rispetto al tipo di dati trattato e alle modalità di trattamento (vista l’attività dell’azienda).

Il lavoro sarà quello di effettuare un analisi approfondita dei dati trattati, delle modalità e dei possibili rischi legati alle criticità rilevate

Una volta individuate quest’ultime in funzione dei potenziali rischi e dello “stato dell’arte” verranno valutate le misure necessarie

Le misure potranno essere applicate al contesto operativo, agli strumenti utilizzati e al comportamento degli utenti operatori che tratteranno i dati

Alcune misure

Backup locale e il cloud
Disaster Recovery e Business Continuity
Programmi assicurativi contro i cyber crimini
Raccolta log d’accesso e correlazione eventi
Vulnerability assessment & Penetration Test
File e device Encryption
Software data lost prevention (DLP)

Breve articolo su data protection e dati personali

Scarica articolo

Brochure Sistemi Open GDPR

Scarica brochure

Richiedi subito una consulenza personalizzata

Per ogni richiesta sraemo lieti di darti i giusto supporto