La data ultima per essere conforme al GPDR è il 25 maggio 2018.
Questo significa che mancano meno di cinque mesi per adeguarsi al Regolamento Generale sulla protezione dei dati.
Se poi consideriamo i giorni lavorati, ci rendiamo conto di quanto poco tempo manchi al termine ultimo.
In realtà l'ideale sarebbe non aspettare l'ultimo giorno utile per adeguarsi perchè questo implica maggiori costi e una minore preparazione.
Il GDPR segna un passaggio di nuovi adempimenti che devono essere gestiti.
Lo scopo del Regolamento è quello di aumentare la privacy e la protezione dei dati per gli individui. Il GDPR è dunque molto attento ai diritti delle persone.
Ricordiamo che la definizione di dato personale è variata ed è molto più ampia. Include anche il dato genetico, il dato culturale, il dato economico, l'identità sociale (come ci presentiamo in rete).
Il regolamento è dunque più moderno perché prevede una nozione di dato personale molto vicina all'era tecnologica e dei social network. Gli strumenti informatici né sono completamente coinvolti!
Le implicazioni del GDPR sono molte e complesse: apparati di sicurezza, codifica dati, browser in a box, virtualizzazione, trusted disk, security remote access, audit e catalogazione log accessi.
Abbiamo deciso di dividere il processo di adeguamento in tre gruppi di misure da considerare.
Dove l'IT può aiutare la tua azienda ad essere in regola con la GDPR?
L'articolo 32 del General Data Protection Regulation verte sulla sicurezza del trattamento dei dati personali e si comprende dunque che le misure per garantire un livello di sicurezza adeguato sono:
La pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione devono essere conservate in una forma tale che ne impedisce l’identificazione dell’utente.
La cifratura dei dati personali
Il backup, la disaster recovery e la capacità di ripristinare velocemente i dati personali
Questo di seguito ciò che indica l'articolo.
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;o
b) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Cosa è il Data Breach?
L'articolo 33 del GDPR è relativo alla notifica di una violazione dei dati personali all’autorità di controllo.
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Il Data Breach è una violazione di dati del database che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. I titolari hanno l'obbligo di segnalare alle autorità il data breach entro 72 ore dalla scoperta.
Se il data breach ha un basso livello di rischio per i diritti individuali può non essere segnalato. E' il caso ad esempio di dati o gli archivi sono cifrati.
Poichè i data breach sono aumentati notevolmente negli ultimi casi, questo aspetto preoccupa particolarmente le aziende.
Un sistema di cifratura diffuso può limitare sensibilmente i rischi correlati ad un data breach.
Il GDPR implica delle sanzioni
Per la prima volta sono previste delle sanzioni molto consistenti, che arrivano fino al 4% del fatturato globale annuo worldwide della società o fino a 20 milioni di euro.
Queste sanzioni vogliono avere anche un effetto di esempio: si fa capire come la violazione della protezione dei dati coinvolge in toto la società, anche se la violazione avviene in un singolo paese. Queste sanzioni rendono coì responsabili le multinazionali nel rispetto della protezione dei dati.
Perciò queste sanzioni sono una vera novità del Regolamento.