GDPR Compliance – cosa bisogna sapere

GDPR Compliance – cosa bisogna sapere

Il Regolamento Ue 2016/679, noto come GDPR è in vigore e pienamente applicabile in tutti gli stati membri dell’Unione Europea dal maggio 2018. La sua attuazione in Italia è regolata dal D.Lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre 2018.

Da oltre cinque anni, in Italia esistono disposizioni di legge specifiche in materia di raccolta, conservazione e utilizzo dei dati personali, ma ancora oggi non tutte le imprese hanno implementato le misure necessarie per essere pienamente conformi a quanto disposto dalla normativa.

Quali sono state le principali innovazioni introdotte dal Regolamento UE 2016/679?uli

  • L’introduzione del concetto di responsabilizzazione o accountability del titolare;
  • L’introduzione di sanzioni amministrative pecuniarie, comminate sulla base del tipo di violazione
  • L’introduzione dei concetti di “privacy by design”, analisi dei possibili rischi, identificazione delle misure di sicurezza necessarie e valutazione dell’impatto in caso di data breach;
  • Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • Obbligo della figura di Responsabile della protezione dei dati per talune tipologie di imprese e di trattamento
  • Regole più chiare su informativa e consenso, con una più precisa e ampia specifica dei diritti dell’interessato;
  • Criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue
  • Applicabilità della normativa anche ad imprese non UE, ma che offrono servizi o prodotti in UE

Quali sono gli impatti nell’ambito della gestione informatizzata dei dati?

Il concetto di Privacy by design, unito all’obbligo della figura di Responsabile della protezione dei dati, hanno un impatto diretto sulla progettazione dell’infrastruttura informatica dell’azienda. Diventa infatti necessario adottare tutte le possibili misure di sicurezza atte a ridurre il rischio di attacchi informatici, che possono portare a furti, perdite, modifiche, distruzione nonché la divulgazione non autorizzata dei dati personali.

Cosa fare in caso di Data Breach

In caso di Data Breach, il titolare del trattamento ha l’obbligo di darne comunicazione al garante, entro 72 ore dall’evento, tramite l’apposito Servizio telematico predisposto dallo stesso Garante della Privacy. In alcuni casi è inoltre previsto anche l’obbligo di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.

La notifica deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrivere le probabili conseguenze delle violazioni dei dati personali
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

L’European Data Protection Board (EDPB) ha redatto le Linee Guida sulle diverse casistiche e sulle modalità di notifica alle autorità nazionali in merito al Data breach. In particolare vengono evidenziate tre tipologie di violazioni della privacy:

  • “Violazione della riservatezza” – in caso di divulgazione non autorizzata o accidentale di o accesso a dati personali;
  • “Violazione dell’integrità” – in caso di alterazione non autorizzata o accidentale dei dati personali;
  • “Violazione della disponibilità”: in caso di perdita accidentale o non autorizzata dell’accesso o distruzione dei dati personali.

Di fronte a tali violazioni, spetta al Titolare del trattamento dei dati valutare gli impatti negativi sulle persone, in termini di danni materiali o immateriali e agire di conseguenza, informando in modo tempestivo e puntuale sia le Autorità che gli interessati.

Nel concetto di Privacy by design è necessario quindi definire, a priori, le procedure da seguire e le responsabilità da assumere da parte di tutto il personale dell’azienda, nel momento in cui si abbia notizia di una violazione del sistema di sicurezza dei dati.

In Italia prima dell’approvazione del Regolamento erano già presenti obblighi di notifica in quattro fattispecie di trattamento: per le aziende di telecomunicazioni, per le Pubbliche Amministrazioni, per i dati biometrici, per i dati sanitari.

La raccolta dei dati

Il GDPR è molto chiaro nel definire i diritti dei soggetti interessati alla raccolta, trattamento e conservazione dei loro dati.

Il consenso

In primis è necessario, che il titolare del trattamento dei dati abbia raccolto gli stessi con il consenso esplicito degli interessati. Tale consenso deve essere fornito al momento della raccolta dei dati e previa comunicazione all’interessato dell’utilizzo che ne sarà fatto, di eventuali destinatari e del periodo di conservazione dei dati.

Il GDPR prevede inoltre che i dati richiesti siano commisurati alla prestazione erogata, ovvero che il Titolare non possa surrettiziamente richiedere più dati di quelli strettamente necessari. Inoltre, il consenso non rappresenta una “cessione” di un bene, che una volta data è per sempre: i dati riguardano sempre il soggetto interessato, che in ogni momento ha il diritto di essere informato sull’utilizzo che ne viene fatto ed eventualmente di revocare il consenso, richiedendo la cancellazione dei suoi dati personali da parte di chi li ha raccolti.

Per le Aziende è necessario definire una Privacy policy chiara e comprensibile ed un processo di raccolta e gestione dei dati in cui sia possibile e semplice, per gli interessati, modificare in qualsiasi momento le preferenze date al momento del consenso e/o revocare il consenso stesso.

In particolare, per tutti i dati raccolti in maniera diretta – ad esempio tramite moduli di contatto – o indiretta – ad esempio tramite cookies – attraverso siti o applicazioni on line, devono essere rispettate le disposizioni di legge come sopra specificate.

Per le aziende con più di 250 dipendenti è inoltre previsto l’obbligo di tenuta di un Registro delle attività di trattamento dei dati.

Si tratta di uno strumento fondamentale per poter avere sempre un quadro aggiornato dei trattamenti in essere all’interno di un’azienda e dei rischi annessi a tali trattamenti. Il Garante della Privacy ha predisposto specifiche linee guida sulla tenuta di tale Registro e sulle modalità di conservazione e protezione dello stesso.

Da sempre specializzata sulla sicurezza dei dati, Cabar offre un pacchetto di servizi finalizzato alla conformità al GDPR. In particolare, la consulenza di Cabar si focalizza su diverse aree di intervento:

 

  • Normativo: Adeguamento legale, tramite partner specializzati
  • Gestionale: Revisione della gestione dei dati personali
  • Tecnico: Analisi e configurazione sistemi di sicurezza
  • Formativo: Formazione GDPR per i dipendenti
Business Continuity: non è una questione esclusivamente informatica

Business Continuity: non è una questione esclusivamente informatica

Cos’è la Business Continuity

Con Business Continuity si intende la capacità di un’azienda di continuare a operare nel mercato anche nel caso in cui si verifichino eventi improvvisi e dannosi che potrebbero intaccarne l’operatività.

Si intuisce immediatamente che il concetto di Business Continuity è più ampio rispetto a quello noto di disaster recovery: questo si riferisce infatti alla capacità di ripristino di un sistema dopo un evento “disastroso”, quella invece presuppone, come indicato dall’ISO 22301: 2019 “Societal security – Business continuity management system – Requirements”, che l’azienda sia in grado di “prevenire” il disastro, attraverso un sistema capace di individuare i possibili fattori di rischio, minimizzare la possibilità che questi si verifichino e reagire immediatamente agli eventi in modo da garantire continuità operativa senza impatti significativi sulle attività aziendali e sugli interessi di clienti e stakeholders.

Si tratta quindi di un processo che coinvolge l’intera azienda, in cui ogni reparto deve essere in ogni momento preparato a intercettare possibili minacce e a reagire prontamente se queste si verificano.

La tecnologia per la Business Continuity

Per ottenere la Business Continuity, occorre creare una cultura della sicurezza aziendale, in cui l’aspetto tecnologico è sempre più determinante. Cabar vanta una pluridecennale esperienza nell’ambito della sicurezza informatica ed è quindi in grado offrire una consulenza multidisciplinare relativa sia alle soluzioni tecnologiche che alle procedure e policy da adottare per garantire la continuità di business.

I gruppi di Continuità

Un tassello fondamentale della Business Continuity è l’utilizzo in azienda di gruppi di continuità UPS. In caso di interruzione di corrente, un UPS è in grado di commutare l’alimentazione dalla rete alle batterie, consentendo ai sistemi di continuare a funzionare per un certo lasso di tempo in attesa che avvenga il ripristino della normale alimentazione. Se tutto funziona correttamente, gli operatori non vedono alcun impatto sul loro lavoro nel passaggio da un sistema di alimentazione all’altro.

Cabar può guidare le Aziende nella scelta della migliore soluzione UPS, basata sulle dimensioni aziendali, sul numero e tipo di dispositivi da proteggere, sull’analisi dei possibili rischi, sulla valutazione degli impatti economici che una interruzione di corrente potrebbe produrre sull’azienda.

Le soluzioni Eaton

Eaton è un’azienda leader nella fornitura di UPS e offre un’alimentazione di backup affidabile e di alta qualità per aziende di tutte le dimensioni. Indipendentemente dal consumo energetico di ogni utente, Eaton è in grado di offrire l’UPS ideale per proteggere le applicazioni aziendali dalle interruzioni di corrente. La gamma offerta comprende:

UPS 9PX di Eaton, che offre una protezione dell’alimentazione a risparmio energetico per data center di piccole e & medie dimensioni, per sale server e infrastrutture IT. Offrendo una protezione in modalità a doppia conversione con un consumo energetico inferiore al 40%, 9PX è l’UPS perfetto per IT manager e Facility manager che si preoccupano dei costi energetici e sono alla ricerca di soluzioni di protezione dell’alimentazione di nuova generazione. https://www.eaton.com/it/it-it/catalog/backup-power-ups-surge-it-power-distribution/eaton-9px-1-3kva-ups.html

UPS Eaton 5PX Gen2, che fornisce alle reti aziendali e alle apparecchiature IT Edge la migliore protezione dell’alimentazione line-interactive della categoria, massimizzando lo spazio dell’infrastruttura IT e la continuità del servizio. 5PX Gen 2 di Eaton offre strumenti efficaci per il controllo a distanza, l’integrazione con l’architettura IT e l’implementazione / la manutenzione da remoto di grandi sistemi di UPS. https://www.eaton.com/it/it-it/catalog/backup-power-ups-surge-it-power-distribution/eaton-5px-g2-emea.html

Nell’ottica di andare oltre la protezione dai danni e allargare lo sguardo sulla prevenzione, che è uno dei pilastri della Business Continuity, Cabar fornisce ai Clienti un servizio di monitoraggio da remoto, con verifiche sullo stato di carica e di integrità degli UPS e rilevamento precoce delle anomalie al fine di mantenere i dispositivi IT in funzione in caso di possibili black-out.

Contattaci per conoscere le nostre soluzioni di Business Continuity