GDPR
Per affrontare l’argomento è necessario partire dalle basi. Che cosa significa GDPR? E’ l’acronimo di General Data Protection Regulation. Si tratta di una nuova legge di livello Europeo che è già entrata in vigore e sarà effettiva dal 25 Maggio 2018. Questa legge è il risultato di anni ed anni di trattative tra esperti di cybersecurity, organizzazioni governative ed avvocati.
GDPR: una guida per comprenderlo meglio
Per iniziare possiamo proporre una serie di brevi concetti per aiutare ad “ingoiare la pillola” più facilmente. Si tratta, in poche parole, della nuova legge che regolamenta il data process and management. Questa disposizione legislativa definisce le regole, i modelli e le best practice per la protezione dei dati personali. Per maggior precisione occorre aggiungere che il GDPR fornisce anche una definizione di dati personali. Questa definizione comprende tutte le informazioni relativa ad un individuo, connesse alla sua vita sia professionale che privata. Lo spettro è molto ampio: si spazia dai nomi alle fotografie, dall’indirizzo e-mail ai dettagli bancari.
GDPR: chi sono i player coinvolti?
Ci sono molteplici figure coinvolte in questi processi. E’ necessario avere una profonda conoscenza dei ruoli per poter capire al meglio la legge nel suo complesso.
- Persona fisica: il proprietario dei dati. Deve fornire un consenso esplicito e scritto per la raccolta e la gestione dei propri dati personali.
- Controller: il titolare del trattamento. Si assume il rischio di eventuali data breach.
- Processor: il responsabile del trattamento.
- Data Protection Officer (DPO): si tratta del responsabile della protezione dei dati. E’ incaricato di avvisare il Controller in caso di vulnerabilità che possano minacciare la protezione dei dati.
- Supervisory Authority: il garante per la protezione dei dati personali.
- European Data Protection Board (EDPB)
GDPR: diritti e doveri
Il GDPR implica una lunga lista di doveri per le aziende e diritti degli utenti. Per fornire un’overview completa e dettagliata del fenomeno occorre riassumere in punti i temi trattati.
Diritti degli utenti:
- Essere informati riguardo i motivi di utilizzo dei propri dati personali: perchè ed in che modo vengono utilizzati i suoi dati?
- Deve avere un accesso libero a tutti i dati che ha fornito. In aggiunta, deve avere la possibilità di trasferire i propri dati da un fornitore ad un altro (portabilità dei dati).
- Deve poter richiedere la modifica, la cancellazione e la rimozione dei propri dati. Queste operazioni devono essere facilmente eseguibili (con lo stesso sforzo che si è fatto per concedere i propri dati).
- Essere tempestivamente informato in caso di un data breach.
- All’utente deve essere garantito il rispetto di tutte le leggi in vigore. Oltretutto, un focus particolare deve essere posto sulle leggi che regolamentano il traffico dei dati fuori dall’Unione Europea.
Doveri delle aziende:
- Provare che l’individuo abbia fornito esplicito consenso per il trattamento dei suoi dati. In aggiunta, devono disporre di questi dati in un modo trasparente ed appropriato.
- Proteggere questi dati dalla distruzione accidentale o illegale, dalla loro eventuale perdita e dalla loro eventuale modificazione. Inoltre, le compagnie devono proteggere i dati da accessi e divulgazioni non autorizzate.
- Devono poter provare la compliance alle regolamentazioni attraverso misure di governance. Queste misure includono documentazioni dettagliate e valutazioni del rischio periodiche.
- Notificare entro 72 ore in caso di data breach.
GDPR: chi è coinvolto? Quali sono le sanzioni?
Chi è coinvolto? Potenzialmente, ogni compagnia, in ogni paese del mondo che raccoglie e tratta dati personali di cittadini europei. Quali sono le sanzionià? Dipende, variano da 20 milioni di dollari al 4% del fatturato annuo mondiali totale dell’anno precedente. Questo porta a porsi delle semplici ma necessarie domande per essere sicuri di non incorrere in sanzioni.
- Quali dati esistono?
- In che modo vengono trattati i dati?
- Dove sono custoditi i dati?
- Chi ha accesso ai dati?
- Quali sono le policy, le procedure e le misure di sicurezza?
GDPR: i passi da seguire per la compliance
Per rendere più semplice l’argomento, possiamo suddividere i passaggi. Ci sono 6 step da seguire per ottenere la compliance al GDPR:
- Assessment: effettuare valutazioni a livello di organizzazione, di policy, di processi e di tecnologia.
- Analisi del rischio: analizzare le vulnerabilità ed individuare i rischi a livello di organizzazione, di policy, di processi e di tecnologia.
- Valutazione del rischio: adottare le misure adeguate per la riduzione del rischio, poichè il GDPR non prevede standard minimi.
- Attuazione delle misure adeguate: implementare le misure di sicurezza a livello di organizzazione, di policy, di processi e di tecnologia.
- Training: istruire e sensibilizzare lo staff coinvolto nel processo del trattamento dei dati.
- Aggiornamento periodico: svolgere periodicamente queste attività su base annuale.
GDPR: come posso rendere la mia azienda compliant?
In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il GDPR Self-Assessment, Vulnerability Assessment, Network Scan e la Code Review. Infine, non dimenticare il GDPR e i dati sensibili ( Infografica Data Privacy ): la nostra piattaforma è al 100% GDPR compliant offrendo un servizio cruciale per colmare il gap con la normativa: il GDPR Assessment.