+39 0421 1885889
Contattaci
Log in

GDPR e sicurezza informatica aziendale: cosa c’è da sapere

La tua azienda si è adeguata al GDPR? Scopri quello che c’è da sapere su questa normativa e adotta i migliori servizi di sicurezza informatica firmati Rack One!
gdpr e sicurezza informatica
Home
GDPR e sicurezza informatica aziendale: cosa c’è da sapere

Dal 25 maggio 2018 è entrato in vigore il GDPR (General Data Protection Regulation), ossia il Regolamento Europeo che riguarda il trattamento e la protezione dei dati personali.

La digitalizzazione e gli sviluppi tecnologici stanno rendendo ormai più agili e veloci tutte le attività all’interno di un’impresa, ma richiedono anche maggiori garanzie di sicurezza per tutti i dati che riguardano i soggetti coinvolti. Ecco perché, questo fatto ha ovviamente portato ancora più attenzione sul concetto di sicurezza informatica, alla luce dei sempre più numerosi cyber attacchi ed incidenti che ogni anno colpiscono sempre più infrastrutture critiche, istituzioni, aziende e privati.

Proprio per questa ragione, il GDPR non deve essere visto dalle aziende come un obbligo che comporta dei costi, bensì come un’opportunità di acquisire una metodologia che permetta di migliorare i propri processi di trattamento dei dati.

GDPR: facciamo un po’ di chiarezza

In generale, il GDPR riguarda tutte le realtà che gestiscono dati di persone fisiche, che si tratti di aziende di qualsiasi tipo di dimensione, della Pubblica Amministrazione, di liberi professionisti, o di associazioni e cooperative.

In particolare, i punti salienti della normativa riguardano:

  • I dati personali devono essere gestiti e utilizzati nella totale trasparenza (è compreso in modo specifico qualsiasi elemento riguardante l’identità fisica, economica, culturale e sociale, oltre ai dati biometrici, genetici, su salute, opinioni politiche, convinzioni religiose, orientamento sessuale, ecc.);
  • Il trattamento e la raccolta dei dati personali è limitato solamente a scopi legittimi specifici;
  • I singoli individui possono richiedere la correzione o eliminazione dei propri dati personali;
  • L’archiviazione dei dati personali è limitata solo al tempo necessario allo scopo per cui sono stati raccolti;
  • Tutti i dati personali devono essere protetti attraverso policy e pratiche di sicurezza informatica appropriate;
  • Il criterio dell’accountability: i titolari del trattamento sono responsabili dell’adozione di politiche e dell’attuazione di misure adeguate a garantire che il trattamento dei dati personali sia conforme al GDPR e devono essere in grado di dimostrarlo;
  • Privacy by design: la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni;
  • Privacy by default: le aziende devono prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa.

GDPR: cosa devono fare le aziende?

Scendendo maggiormente nel dettaglio, vediamo quali sono i compiti che le aziende devono portare a termine per adeguarsi al GDPR:

  1. Valutazione preliminare: il primo passo necessario è mappare la situazione attuale dell’azienda prendendo in esame tutte le attività che implicano un qualunque trattamento di dati personali, ad esempio la tipologia di dati, i soggetti coinvolti nel trattamento, la documentazione, i sistemi informatici, le misure tecniche ed organizzative e il flusso dei dati verso l’esterno.
  2. Nomina del Responsabile della Protezione dei Dati (DPO): successivamente le aziende devono valutare la nomina di un consulente qualificato che si occupi in modo esclusivo della materia della protezione dei dati personali. Il DPO viene nominato obbligatoriamente negli enti pubblici e nelle aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala”, ma nulla vieta di procedere alla nomina del DPO anche qualora non sia obbligatoria, magari quando le tipologie di trattamento siano comunque particolarmente “delicate”.
  3. Redazione del registro dei trattamenti: si tratta di un documento, cartaceo o informatico, che riporta ogni singolo trattamento di dati effettuato dall’azienda. Non è obbligatorio per le imprese con meno di 250 dipendenti, salve alcune eccezioni, ma è comunque sempre assolutamente consigliabile, in quanto risulta uno strumento di grande utilità.
  4. Individuazione degli interventi necessari – valutazione dei rischi: in questa fase si individuano gli specifici deficit in relazione ai vari ambiti di attività dell’azienda, rispetto alla normativa privacy, che devono essere sistemati e adeguati.
  5. Valutazione d’impatto (DPIA): lo scopo è quello di consentire l’individuazione delle misure tecniche ed organizzative che consentano di eliminare o minimizzare i rischi per i diritti e le libertà delle persone fisiche durante il trattamento dei dati.
  6. Redazione del progetto di adeguamento: è la fase in cui si pianificano i lavori di adeguamento normativo, organizzandoli in base agli ambiti di intervento e ai soggetti coinvolti e redigendo, per ogni ambito, uno specifico programma con l’obiettivo di definire una politica di gestione della privacy aziendale.
  7. Definizione dei ruoli e delle responsabilità dei soggetti: un altro passaggio fondamentale consiste nell’individuare quali sono i soggetti principali che dovranno poi effettivamente implementare il piano di adeguamento, definendone i ruoli e le responsabilità, ossia il Titolare del trattamento, il Responsabile del trattamento (sempre esterno all’azienda), gli Incaricati del trattamento.
  8. Revisione (o redazione) della documentazione: in questa fase, si deve procedere ad analizzare tutta la documentazione privacy per garantire che risulti sempre completa ed aggiornata, o per procedere con la redazione ex novo di quella eventualmente mancante.
  9. Definizione delle procedure di gestione delle violazioni di dati (Data Breach): in caso di Data Breach, ossia la violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali, è necessario prevedere delle specifiche procedure da attivare dato che il Titolare è obbligato a notificare la violazione al Garante Privacy entro 72 ore dal momento in cui ne è venuto a conoscenza.
  10. Definizione delle procedure sull’esercizio dei diritti dell’interessato: è indispensabile che il piano di adeguamento definisca le procedure per consentire l’esercizio dei diritti agli interessati del trattamento, tra cui: il diritto di accesso, il diritto di cancellazione o diritto all’oblio, il diritto di limitazione del trattamento e il diritto alla portabilità dei dati.

GDPR e sicurezza informatica: affidati a Rack One!

La sicurezza informatica all’interno della tua azienda riguardo la corretta gestione e trattamento dei dati personali rappresenta la priorità per noi di Rack One, grazie anche alla partnership con la Polizia delle Telecomunicazioni, con cui svolgiamo incontri periodici e scambiamo importanti informazioni sui pericoli informatici.

Siamo in grado di fornire una vasta serie di servizi evoluti di web security che daranno la possibilità alla tua azienda di adempiere completamente alla normativa GDPR, facendo in modo che possa godere anche di numerosi vantaggi: riorganizzazione e razionalizzazione delle procedure riguardanti la sicurezza dei dati nella loro globalità; maggiore protezione dei dati contro il panorama in espansione di cyber attacchi e minacce; maggiore fiducia da parte dei clienti grazie alla garanzia di un elevato grado di sicurezza e di costante monitoraggio della protezione dei propri dati forniti all’azienda.

Ora resta solo da verificare che la tua azienda abbia tutte le carte in regola per rispettare il GDPR: affidati agli specialisti di Rack One e contattaci per implementare i migliori servizi di sicurezza informatica aziendale!

Potrebbe anche interessarti

Argomenti

Seguici