GDPR in breve
Il Regolamento Generale sulla protezione dei dati (GDPR) è il quadro giuridico per il trattamento dei dati personali in Europa che introduce requisiti rigorosi che definiscono nuovi standard in materia di compliance, sicurezza e protezione dei dati.
Bertoldi Cybersecurity e il GDPR
Oltre a garantire la propria conformità, Bertoldi Cybersecurity si impegna a offrire servizi e risorse in grado di consentire ai clienti di conformarsi agli eventuali requisiti del GDPR a cui sono tenuti ad adeguarsi in merito alle loro attività. A tal proposito Bertoldi Cybersecurity ha rilasciato nuove funzionalità ed altre lo saranno.
Data Center in Europa
Bertoldi Cybersecurity è un azienda 100% italiana e i data center si trovano in Italia ed in Europa.
Definizione del GDPR
Al fine di evitare errate interpretazioni degli obblighi normativi, di seguito vengono definite le espressioni essenziali per comprendere il GDPR:
DATI PERSONALI
Qualsiasi informazione relativa a una persona fisica identificata o identificabile, cioè l’interessato. È considerata una persona fisica identificabile una persona fisica che può essere identificata, direttamente o indirettamente.
TRATTAMENTO
Qualsiasi operazione o insieme di operazioni eseguite con o senza il supporto di processi automatizzati e applicate a dati o insiemi di dati personali (raccolta, registrazione, trasmissione, storage, conservazione, datamining, consultazione, utilizzo, interconnessione, ecc…).
RESPONSABILE DEL TRATTAMENTO DEI DATI
Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, da solo o con altri soggetti, determina i mezzi e le finalità del trattamento. Nel testo del GDPR viene indicato come titolare del trattamento dei dati.
INCARICATO DEL TRATTAMENTO DEI DATI
Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento. Nel testo del GDPR viene indicato come responsabile del trattamento dei dati.
DATI PERSONALI
TRATTAMENTO
RESPONSABILE DEL TRATTAMENTO DEI DATI (DATA CONTROLLER)
INCARICATO DEL TRATTAMENTO DEI DATI (DATA PROCESSOR)
Qualsiasi informazione relativa a una persona fisica identificata o identificabile, cioè l’interessato. È considerata una persona fisica identificabile una persona fisica che può essere identificata, direttamente o indirettamente.
Qualsiasi operazione o insieme di operazioni eseguite con o senza il supporto di processi automatizzati e applicate a dati o insiemi di dati personali (raccolta, registrazione, trasmissione, storage, conservazione, datamining, consultazione, utilizzo, interconnessione, ecc…).
Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, da solo o con altri soggetti, determina i mezzi e le finalità del trattamento. Nel testo del GDPR viene indicato come titolare del trattamento dei dati.
Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento. Nel testo del GDPR viene indicato come responsabile del trattamento dei dati.
Bertoldi Cybersecurity come incaricato del trattamento dei dati
Questo è certamente il caso in cui le tue aspettative su Bertoldi Cybersecurity sono più incisive. Bertoldi Cybersecurity riveste il ruolo di “incaricato del trattamento” quando tratta dati personali per conto di un responsabile del trattamento.
È la situazione che si verifica quando si utilizzano i servizi Bertoldi Cybersecurity e si archiviano i dati personali su un’infrastruttura Bertoldi Cybersecurity. Entro i limiti dei suoi vincoli tecnici, Bertoldi Cybersecurity tratterà i dati ospitati esclusivamente secondo le tue indicazioni, e per tuo conto.
L’impegno di Bertoldi Cybersecurity in qualità di incaricato del trattamento dei dati
Nel ruolo di incaricato del trattamento dei dati, Bertoldi Cybersecurity si impegna in particolare a eseguire le seguenti azioni:
Trattare i dati personali esclusivamente ai fini della corretta esecuzione dei servizi: Bertoldi Cybersecurity non utilizzerà mai le tue informazioni per altri scopi (marketing, ecc…)
Non trasferire i tuoi dati al di fuori dell’UE o al di fuori di Paesi riconosciuti dalla Commissione Europea come possessori di un livello di protezione insufficiente
Informarti di qualsiasi eventuale ricorso ad altri incaricati che potrebbero trattare i tuoi dati personali anche se, ad oggi, nessun servizio che preveda l’accesso ai contenuti archiviati dall’utente viene esternalizzato al di fuori di Bertoldi Cybersecurity
Implementare standard elevati di sicurezza al fine di garantire un alto livello di sicurezza ai nostri servizi
Avvisarti il prima possibile in caso di violazione dei dati
Assisterti nell’adempiere ai tuoi obblighi normativi fornendoti un’adeguata documentazione dei nostri servizi
Bertoldi Cybersecurity come responsabile del trattamento dei dati
Bertoldi Cybersecurity riveste il ruolo di “responsabile del trattamento dei dati” quando determina i mezzi e le finalità del “proprio” trattamento di dati personali.
È il caso in cui Bertoldi Cybersecurity raccoglie i dati per fatturazione, miglioramento del servizio e delle prestazioni, operazioni di vendita, gestione commerciale, ecc…, ma anche quando Bertoldi Cybersecurity tratta i dati personali dei propri dipendenti.
In questo caso, i “tuoi” dati ospitati sui servizi Bertoldi Cybersecurity, non sono interessati, diversamente da alcune informazioni che riguardano te o i tuoi dipendenti (ad esempio informazioni relative a identità e coordinate del tuo contatto in Bertoldi Cybersecurity nell’ambito di una richiesta di Supporto). Questo è il motivo per cui Bertoldi Cybersecurity ci tiene a spiegare le garanzie messe in atto per assicurare la protezione di questi dati personali:
-
Limitare la raccolta dei dati a quelli strettamente necessari: così facendo, quando si ordina un servizio si inseriscono soltanto i dati richiesti da Bertoldi Cybersecurity per fornire prestazioni relative alla fatturazione, all’assistenza o adempiere agli obblighi legali nell’ambito della conservazione dei dati
-
Non utilizzare i dati personali per scopi diversi da quelli per cui sono stati originariamente raccolti
-
Conservare i dati personali per un periodo limitato. Ad esempio, i dati trattati per scopi relativi alla gestione delle relazioni tra i clienti e Bertoldi Cybersecurity (cognome, nome, indirizzo, email, ecc…), sono conservati dall’azienda per l’intera durata del contratto e i successivi 36 mesi. Alla fine di questo periodo, vengono definitivamente cancellati da tutti i supporti e backup
-
Non trasferire questi dati a terzi che non facciano parte delle società collegate a Bertoldi Cybersecurity che sono coinvolte nell’esecuzione del contratto.
-
Implementare adeguate misure tecniche e organizzative al fine di garantire un alto livello di sicurezza
Misure di sicurezza
È essenziale distinguere tra la sicurezza dei dati ospitati dal cliente e la sicurezza delle infrastrutture che ospitano questi dati.
Sicurezza dei dati ospitati dal cliente
Il cliente è l’unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l’utilizzo dei servizi. Bertoldi Cybersecurity mette a disposizione degli strumenti per supportare il cliente nella protezione dei propri dati. Ogni servizio ha i suoi strumenti specifici; di seguito alcuni di essi:
Backup dei dati:
Misure di sicurezza
È essenziale distinguere tra la sicurezza dei dati ospitati dal cliente e la sicurezza delle infrastrutture che ospitano questi dati.
Sicurezza dei dati ospitati dal cliente
Il cliente è l’unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l’utilizzo dei servizi. Bertoldi Cybersecurity mette a disposizione degli strumenti per supportare il cliente nella protezione dei propri dati. Ogni servizio ha i suoi strumenti specifici; di seguito alcuni di essi:
Il cliente è l’unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l’utilizzo dei servizi. Bertoldi Cybersecurity mette a disposizione degli strumenti per supportare il cliente nella protezione dei propri dati. Ogni servizio ha i suoi strumenti specifici; di seguito alcuni di essi:
Backup dei dati:
IntactBackup
Auditing delle attività e degli accessi a dati e valutazione del rischio:
Auditing e Risk Intelligence
Servizi di sicurezza dei dati e dell’infrastruttura IT:
IntactSecurity – IntactMail – IntactVoice
IntactCloud – IntactWeb – IntactMobile
Sicurezza delle infrastrutture
Bertoldi Cybersecurity si impegna a garantire la massima sicurezza delle proprie infrastrutture, in particolare implementando una politica di sicurezza dei sistemi informativi e rispondendo alle esigenze di numerose leggi e certificazioni. Bertoldi Cybersecurity adotta le misure necessarie per preservare la sicurezza e la riservatezza dei dati personali trattati, in particolare per impedire che vengano violati, danneggiati o che soggetti terzi non autorizzati vi accedano.
Dati personali : Qualsiasi informazione relativa a una persona fisica identificata o identificabile, cioè l’interessato. È considerata una persona fisica identificabile una persona fisica che può essere identificata, direttamente o indirettamente.
Trattamento : Qualsiasi operazione o insieme di operazioni eseguite con o senza il supporto di processi automatizzati e applicate a dati o insiemi di dati personali (raccolta, registrazione, trasmissione, storage, conservazione, datamining, consultazione, utilizzo, interconnessione, ecc…).
Responsabile del trattamento dei dati: Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, da solo o con altri soggetti, determina i mezzi e le finalità del trattamento. Nel testo del GDPR viene indicato come titolare del trattamento dei dati.
Incaricato del trattamento dei dati: Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento. Nel testo del GDPR viene indicato come responsabile del trattamento dei dati.
Bertoldi Cybersecurity si impegna in particolare a implementare:
Misure di sicurezza fisica per impedire a persone non autorizzate di accedere alle infrastrutture sulle quali sono archiviati i dati del cliente
Un sistema di gestione delle autorizzazioni per permettere di accedere ai locali e ai dati soltanto alle persone che ne hanno necessità nell’ambito della loro attività
Un sistema fisico e/o logico per mantenere separati i clienti tra di loro
Forti processi di autenticazione per utenti e amministratori grazie a una severa politica di gestione delle password
Processi e dispositivi per tracciare tutte le azioni eseguite sul proprio sistema informativo e, in conformità con le norme vigenti, segnalare eventuali incidenti che riguardino i dati dei clienti