Il 25 Maggio 2018 è entrato in vigore il regolamento sulla protezione dei dati dell’Unione Europea (GDPR) che andrà a sostituire tutte le altre norme in materia di protezione dei dati in Europa. Con se arrivano potenziali multe salatissime: fino a 20 milioni di euro oppure il 4% del fatturato totale dell’azienda a seconda di quale sia superiore. La GDPR protegge i diritti dei dati dei cittadini dell’Unione Europea, e la loro privacy (come dati personali). Per esempio: i cittadini dell’UE avranno il diritto di chiedere alla aziende di cancellare tutti i dati memorizzati, comprese tutte le copie. Questo richiede necessariamente una mappa completa di quali dati e dove sono memorizzati, inoltre bisognerà sapere anche chi ne avrà l’accesso.
Se la tua azienda subisce un attacco informatico, entro 24 ore dovrà fornire al garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione ed entro 72 ore informare anche ciascun utente coinvolto, a meno che in dati non siano crittografati. Non sai come fare ? Offriamo un servizio completo per la crittografia e la cancellazione sicura dei dati !
Ecco quali sono gli adempimenti previsti dal Garante della Privacy riguardo alla violazione di dati personali (data breach).
Tutte le persone che hanno una azienda devono conformarsi a quanto scritto precedentemente, questo include quindi non soltanto tutte le aziende Europee ma anche quelle che trattano con clienti dell’Unione Europea. I Paesi Bassi, da questo punto di vista, già dal primo gennaio 2016 hanno adottato la GDPR come legge per la protezione dei dati.
La sicurezza dovrà essere fatta su più livelli, non basta che i dispositivi e la rete siano in sicurezza, anche gli utenti dovranno essere istruiti per un’utilizzo sicuro del sistema.
ECCO I PUNTI FONDAMENTALI PER METTERSI IN REGOLA CON LA GDPR:
AUDIT DELLA SITUAZIONE ODIERNA
Il primo punto è valutare la situazione dei dati odierna, ottenendone soltanto una visione realistica si può capire dove bisogna intervenire
-
Audit dei tuoi dati
Effettuare l’ispezione dei tuoi dati per conoscere con precisione quali sono, e dove si trovano
-
Audit dei dispositivi
Assicurati di conoscere ogni dispositivo che abbia accesso ai dati della tua azienda, sia che sia dell’azienda sia che sia un dispositivo BYOD
-
Compliance dei tuoi partner
Devi essere sicuro che ogni tuo partner che ti offre un servizio sia compliance alla GDPR o sotto una giurisdizione di dati ufficialmente autorizzata
Offriamo un servizio completo per l’audit della tua azienda conforme e certificato per la GDPR:
Puoi trovare tutte le informazioni e i prezzi per il nostro servizio qui: Auditing & Risk Intelligence
CONTROLLO DELL’ACCESSO
Un altro passo fondamentale è sapere chi ha accesso ai dati dell’azienda, tenere traccia di chi accede, e prevenire qualsiasi violazione che permetta l’accesso a tutto il sistema.
-
Gestire il controllo dei privilegi amministrativi
Bisogna assicurarsi che le azioni di amministratore possano essere fatte da un cerchio ristretto di persone, per minimizzare il rischio che altri ottengano il controllo completo alla rete.
-
Accesso ai dati personali
Riconoscere accuratezza gli utenti, i device e da cui provengono le richieste di accesso ai tuoi dati.
Sapere riconoscere chi ha copiato, modificato un file e in quale momento lo ha fatto.
-
Accesso remoto ai propri device
Assicurarsi di potere avere l’accesso remoto ai propri device e potere effettuare il wipe di tutti i dati sui dispositivi nel caso questi vengano persi
Puoi gestire il controllo dei privilegi implementando un Dominio Active Directory o usando la nostra soluzione di Sicurezza Proattiva.
Per avere accesso a tutti i tuoi dispositivi offriamo una Suite di Mobile Security. Consulta tutti i dettagli e i prezzi sulle pagine dedicate.
INVESTIRE NELLA SICUREZZA INFORMATICA
Il passo finale è quello di implementare una sicurezza stratificata molto robusta per individuare e rispondere ad eventuali violazioni. La prevenzione è alla base di tutto.
-
Antivirus obbligatorio e regolari scansioni per gli update dei software del sistema
Le tradizionali difese come l’antivirus sull’endpoint, l’UTM del Firewall e fini regole settate su questo sono obbligatorie ma non bastano, update regolari dei sistemi di sicurezza e dei software sono fondamentali per il mantenimento in sicurezza dell’infrastruttura.
Possiamo controllare e aggiornare tutto il tuo sistema tramite il nostro software di Patch Management.
-
Capire le proprie debolezze
Effettuare scansioni sulla sicurezza del proprio sistema, con software di vulnerability scan per capire dove sono possibili potenziali violazioni, investendo quindi in nuovi dispositivi più sicuri e apportando i giusti sistemi di sicurezza.
-
Condurre la formazione dei dipendenti in sicurezza informatica
Circa il 60% degli attacchi proviene da comportamenti errati degli utenti, è necessario quindi una formazione per impedire agli utenti errori di base, come l’apertura di allegati mail sconosciuti o per attacchi più avanzati di Social Engineering
Offriamo inoltre Corsi sulla Sicurezza Informatica per prevenire l’errore umano che può capitare all’interno dell’azienda. Contattaci subito per saperne di più!
RESTANO COMUNQUE IN VIGORE LE MISURE MINIME DI SICUREZZA TRATTATE DAL GARANTE DELLA PRIVACY
Per approfondire l’argomento puoi visualizzare il documento ufficiale presente qui: Disciplinare tecnico in materia di misure minime di sicurezza
Aggiornamento dei sistemi
I software per la sicurezza informatica devono essere aggiornati obbligatoriamente almeno ogni anno. Nel caso invece di trattamento di dati sensibili o giudiziari devono essere aggiornati ogni 6 mesi
Cambio Password
La password deve essere composta da almeno 8 caratteri, non deve contenere riferimenti agevolmente riconducibili all’utente, e deve essere cambiata almeno ogni sei mesi. Nel caso invece di trattamento di dati sensibili o giudiziari la password deve essere cambiata almeno ogni 3 mesi
Backup dei dati
I backup devono garantire in maniera certa il recupero dei dati in caso di danneggiamento (software / hardware) dei computer, e devono essere effettuati con cadenza minima settimanale
Se ancora non sei in regola con le misure minime affrettati ! Contattaci subito per un preventivo gratuito ! Potrai usufruire delle nostre soluzioni e metterti in regola in tempi rapidissimi, usufruendo di uno dei sistemi di backup più completi sul mercato conforme alla GDPR. Controlla tu stesso !
ARCHIVIAZIONE DELLA POSTA
Per legge (articolo 22 del Dpr 600/1973) i messaggi di posta elettronica a contenuto e rilevanza giuridica e commerciale devono essere conservati per dieci anni. Per questo offriamo una soluzione di archiving completa fino anche a 30 anni, così non ti devi più preoccupare di nulla.
OBBLIGO DPO: DATA PROTECTION OFFICER NEL GDPR: QUANDO È OBBLIGATORIO
Il Regolamento (UE) 2016/679 del 27 aprile 2016, oltre a prevedere un nuovo quadro giuridico in materia di data protection, fondato sul concetto anglosassone di accountability del Titolare, ha introdotto una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, Responsabile della protezione dei dati (RPD).
Se ancora non sei in regola con le misure minime affrettati ! Contattaci subito per un preventivo gratuito ! Potrai usufruire delle nostre soluzioni e metterti in regola in tempi rapidissimi, usufruendo di uno dei sistemi di backup più completi sul mercato conforme alla GDPR. Controlla tu stesso !
ARCHIVIAZIONE DELLA POSTA
Per legge (articolo 22 del Dpr 600/1973) i messaggi di posta elettronica a contenuto e rilevanza giuridica e commerciale devono essere conservati per dieci anni. Per questo offriamo una soluzione di archiving completa fino anche a 30 anni, così non ti devi più preoccupare di nulla.
OBBLIGO DPO: DATA PROTECTION OFFICER NEL GDPR: QUANDO È OBBLIGATORIO
Il Regolamento (UE) 2016/679 del 27 aprile 2016, oltre a prevedere un nuovo quadro giuridico in materia di data protection, fondato sul concetto anglosassone di accountability del Titolare, ha introdotto una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, Responsabile della protezione dei dati (RPD).
Ma quando è obbligatorio nominare un Data Protection Officer?
La designazione del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre casi:
-
Se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico
-
Quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
-
Quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).
Tralasciando di esaminare il primo caso in cui non rientrate di certo, esaminiamo i seguenti.
Attività principali
Il considerando art.97 precisa che, nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” è solo un’“attività accessoria”. Con “attività principali” si possono, quindi, intendere le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dall’azienda.
Il Wp29 precisa che, tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati, pur non costituendo attività principale, costituisce comunque una componente inscindibile dalle attività svolte.
Ad esempio, l’attività principale di un ospedale è quella di prestare assistenza sanitaria, ma non sarebbe possibile svolgerla in modo efficace senza trattare dati relativi alla salute, come quelli contenuti nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato
fra le attività principali di qualsiasi ospedale.
Lo stesso dicasi per un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, ma questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ciò comporta che gli ospedali e le imprese di sorveglianza come quella prima descritta, secondo il WP29, sono tenuti a nominare un DPO.
Attività quali la gestione delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico (quali la gestione amministrativo-contabile (1) ), pur essendo necessarie non possono essere considerate “core activities” (missione aziendale).
Monitoraggio regolare e sistematico
Il concetto di ‘monitoraggio regolare e sistematico’ degli interessati non è definito all’interno del GDPR.
Tuttavia, il considerando art. 24 menziona il “monitoraggio del comportamento degli interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche se, precisa il WP29, il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.
Sempre secondo il WP29, l’aggettivo “regolare” ha almeno uno dei seguenti significati:
-
Che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
-
Ricorrente o ripetuto a intervalli costanti;
-
Che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati:
-
Che avviene per sistema;
-
Predeterminato, organizzato o metodico;
-
Che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
-
Svolto nell’ambito di una strategia.
Alcuni esempi di attività che possono configurare un monitoraggio regolare e sistematico di interessati secondo il WP29, fra gli altri, sono:
-
La gestione di una rete di telecomunicazioni,
-
La prestazione di servizi di telecomunicazioni;
-
Il reindirizzamento di messaggi di posta elettronica (email re-targeting);
-
Attività di marketing basate sull’analisi dei dati raccolti;
-
Profilazione e scoring per finalità di valutazione del rischio (ad esempio nel settore creditizio)
-
Programmi di fidelizzazione;
-
Pubblicità comportamentale;
Larga scala
In merito a cosa si intenda per larga scala il GDPR non fornisce alcuna indicazione. Comunque è da buon senso ritenere che per ‘larga scala’ si intenda il trattamento “di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati, comportando quindi un rischio potenzialmente elevato sulla privacy degli stessi.
Oltre a garantire la propria conformità, Bertoldi Cybersecurity si impegna a .. Leggi tutto ->