Tutto sul GDPR: ecco come arrivare preparati

19 dicembre 2017

CHE COS’È IL GDPR?

GDPR è il Regolamento sulla sicurezza dei dati che si adatta all’evoluzione digitale. La Digital Transformation, il Cloud computing e l’Internet of Things sono tra i fattori responsabili di un incremento esponenziale dei dati presenti su scala globale. Si stima, infatti, che negli ultimi due anni sono stati prodotti il 90% dei dati presenti in Internet. Questa mole di dati, che prende il nome di “Big Data”, necessita di particolare attenzione per quanto riguarda la Sicurezza e la Privacy.

La Commissione Europea ha sancito un Regolamento con il quale adempire a questa necessità: GDPR UE 2016/679, acronimo di General Data Protection Regulation. Questo Regolamento ha i seguenti obiettivi:

  1. Rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea.
  2. Affrontare il tema dell’esportazione dei dati personali al di fuori dell’Unione Europea.
  3. Ottimizzare il controllo dei dati personali dei cittadini residenti nell’Unione Europea, adattando la normativa in base al contesto che riguarda gli affari internazionali nella quale si trova il titolare del trattamento degli stessi.
    A differenza dell’attuale direttiva, è ammissibile che il titolare del trattamento sia una società, azienda, impresa od ente con sede legale fuori dall’UE.
  4. Ridurre gli attacchi informatici che mirano al danneggiamento, di qualsivoglia natura, dei Dati personali dei cittadini di cui al punto 3.

REGOLAMENTO UFFICIALE GDPR

GDPR è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno. Dal 25 maggio 2018, inizierà ad avere efficacia, andando a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogando le norme che risulteranno incompatibili con il Codice per la protezione dei dati personali (dlgs.n. 196/2003) attualmente in vigore.

TESTO IN ITALIANO GDPR

È possibile visualizzare e scaricare il testo completo del GDPR in italiano e in formato PDF dal sito eur-lex.europa.eu, così come è stato pubblicato sulla Gazzetta Ufficiale Europea.

Grazie a questo Regolamento, la Sicurezza dei dati verrà incrementata notevolmente.

IL VERO SIGNIFICATO

GDPR è importante perchè rappresenta uno strumento utile e versatile a disposizione dei titolari del trattamento che si adatta al contesto nella quale l’azienda si trova. Ciò significa che GDPR non è un elenco di rigide norme da rispettare, ma d’altra parte l’azienda deve porre particolare attenzione per poter raggiungere gli obiettivi posti nel Regolamento.

Il GDPR è un Regolamento che da un lato affronta anche la parte di sicurezza informatica aziendale, che ha tra i suoi obiettivi quello di ridurre gli attacchi informatici contestualizzando le vulnerabilità presenti nell’azienda. Riducendo gli attacchi informatici si limitano anche i danni che questi causerebbero alla produttività aziendale, in un’ottica di Business Continuity. Proprio per la sua versatilità, si impongono anche multe salate in caso di mancato adempimento del Regolamento stesso.

LE NUOVE PAROLE CHIAVE

ACCOUNTABILITY

Il titolare del trattamento dei dati personali è colui che determina le finalità e i mezzi del trattamento, ed è il responsabile dei rischi inerenti ai diritti e alle libertà delle persone fisiche, il quale deve dimostrare di aver adottato le misure adeguate per garantire che il trattamento è effettivamente conforme al Regolamento. Queste misure, proprio per la versatilità del GDPR, si adattano al contesto aziendale.

PRIVACY BY DESIGN

Descrive la necessità di progettare i sistemi informatici che utilizzeranno i dati personali in modo che tutelino la privacy degli interessati al trattamento. In questo modo, si predispone la gestione del ciclo di vita dei dati che inizia con la raccolta e termina con la cancellazione. Inoltre bisogna tener conto dell’esattezza, dell’integrità e della riservatezza dei dati in questione.

Al Data Protection Officer (DPO) o “Responsabile per la protezione dei dati” spetta il compito di progettare (to design) e gestire in sicurezza il sistema informatico che si occupa del trattamento dei dati personali.

PRIVACY BY DEFAULT

Descrive la necessità di tutelare, come impostazione predefinita, la privacy degli interessati al trattamento. In questo modo, solo i dati personali necessari alle finalità del trattamento potranno essere raccolti ed utilizzati dai sistemi informatici e dai responsabili del trattamento, in uno specifico periodo di conservazione.

DIRITTO AL RISARCIMENTO

money

Chiunque subisca un danno materiale o immateriale provocato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento – o dal responsabile del trattamento -, se e solo se, quest’ultimo non sia in grado di dimostrare che il danno in questione non gli sia in alcun modo imputabile.

Il Regolamento, quindi, prevede l’attribuzione di una tra le seguenti sanzioni economiche:

  • una multa fino a 10 milioni di euro o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 del Regolamento;
  • fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6 del Regolamento.

Ignorare GDPR può costare caro!

 GDPR COME BENEFICIO

Il Regolamento impone un elevato impegno da parte delle aziende, perchè mette in discussione l’intero sistema di progettazione (a causa del privacy by design). Inoltre, l’impegno economico richiesto non è trascurabile, perchè si richiede di investire nell’adozione di adeguate misure di prevenzione. L’impegno morale ed economico richiesti, però, saranno sempre inferiori rispetto ad un eventuale attacco informatico con l’aggiunta delle sanzioni espresse dal Regolamento.

Oltre al danno, la beffa…

È importante, quindi, capire che il GDPR non è soltanto un costo, ma un guadagno. L’azienda ci guadagna in termini di immagine, perchè verrà apprezzata per la sua attenzione alla privacy dei propri clienti, e in termini economici, perchè eviterà eventuali attacchi informatici.

Gli attacchi informatici non sono solo una favola, ma sono un’amara realtà! Di recente è stato sferrato un cyber-attacco a livello mondiale, chiamato Wanna-Cry.

Compresa la vera importanza del GDPR, è naturale porgersi la seguente domanda.

COM’È POSSIBILE SODDISFARE I REQUISITI DEL GDPR ENTRO IL 25 MAGGIO 2018?question

Per soddisfare i requisiti del GDPR, quello che viene richiesto ai titolari del trattamento è di dimostrare di aver adottato le misure di sicurezza idonee circa il trattamento dei dati. Per poterlo dimostrare, bisogna produrre un documento scritto e/o cartaceo costituito da n. 2 moduli:

  • modulo tecnologico: nel quale dover dimostrare di aver implementato tutte le funzionalità tecniche necessarie, come:
    • Abbattere le vulnerabilità dell’infrastruttura informatica, implementando tecnologie come:
      • Firewall
      • End point
      • Crittografia dei dati personali
    • Formazione degli IT manager, dei manager e del personale, i quali devono essere a conoscenza del Regolamento GDPR e delle modalità di utilizzo dei dati personali.
  • modulo legale: nel quale dover dimostrare un adeguamento legale in linea con quanto espresso dal GDPR, affrontando temi come:
    • Privacy by default: La quantità di dati personali utilizzati deve essere ridotto al minimo indispensabile per poter raggiungere le finalità previste nel periodo di tempo necessario a tali fini.
    • Privacy by design: Ponendo la privacy dell’interessato al trattamento al centro del progetto in questione. In questo modo, si cerca di prevenire eventuali rischi di incorre a danni all’interessato, che si riflettono poi sull’azienda stessa, in termini economici e di immagine.

Questo documento prende il nome di Assessment, in cui il titolare del trattamento include la valutazione complessiva della situazione corrente in materia di protezione dei dati personali, nei punti espressi dal GDPR.

GDPR: LA SOLUZIONE COMPLETA OFFERTA DA BEANTECH

BeanTech offre una soluzione completa in risposta al GDPR, aiutando i clienti ad essere in linea con quanto espresso dal Regolamento, sia dal punto di vista tecnologico, che legale.

COME È POSSIBILE CHE BEANTECH, AZIENDA INFORMATICA, POSSA AIUTARE I PROPRI CLIENTI CON IL MODULO LEGALE?

BeanTech collabora con lo Studio Legale Avvocati D’Agostini, esperti nel GDPR, assieme al quale formano il punto di riferimento in grado di fornire la moglior soluzione tecnico/legale in linea con il GDPR nel territorio friulano.

L’IMPORTANZA DELLA FORMAZIONE

beanTech offre servizi di formazione agli IT manager delle aziende Clienti, spiegando loro i concetti più importanti per essere conformi al GDPR, come privacy-by-design e privacy-by-default, e sopratutto come metterli in atto!Corso di formazione sul tema GDPR

Nella foto, da sinistra, Massimiliano Anziutti, CTO di beanTech, e Federico Nicoloso, Sales Engineer in beanTech, in uno dei recentissimi corsi di formazione tenuti agli IT Manager sul GDPR.

CHI CI HA SCELTO?

Già decine di aziende operanti in settori molto diversi ci hanno scelto per affrontare il tema del GDPR, per essere allineati con il Regolamento entro il giorno 25 maggio 2018.

Questo sottolinea il fatto che il GDPR è un tema che riguarda tutti e si applica anche ad aziende non prettamente informatiche, ma a chiunque tratti dati personali di Cittadini europei o dati circolanti attraverso l’Unione Europea.

beantech

beantech

beanTech Srl è un’azienda con decennale esperienza nel settore dell’ICT, specializzata nell’integrazione di soluzioni informatiche (System Integration) e nell’attività di ricerca connessa allo sviluppo software (Laboratorio di Ricerca riconosciuto dal MIUR, Ministero per l’Istruzione, Università e Ricerca).

2 commenti a “Tutto sul GDPR: ecco come arrivare preparati”

  • Davvero un ottimo articolo. Credo solo che d.p.o. stia per data protection officer più che per data privacy officer, anche se in sostanza poco cambia. Complimenti e buon lavoro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *