Arriva il GDPR, aiuto!

Attenzione!

Il 25 Maggio 2018 entrerà in vigore il Regolamento Generale sulla protezione dei dati personali (GDPR), un’importante normativa che andrà a sostituire le legislazioni ad oggi in atto nei singoli Paesi dell’unione europea.
Per l’Italia significherà fondere le norme vigenti sul trattamento dei dati personali (privacy) con norme nuove che riguardano la sicurezza informatica.
Le aziende e gli enti pubblici dovranno adeguarsi alle nuove norme per non incorrere in sanzioni astronomiche: fino a 20.000.000 di euro o addirittura il 4% del proprio fatturato annuo.

Fondamentalmente le norme trattano il tema dei dati personali di soggetti risiedenti nell’Unione Europea, indipendentemente dalla localizzazione geografica dell’azienda o del luogo in cui i dati vengono gestiti ed elaborati.

Qualsiasi apparecchio elettronico che operi in rete e gestisca dati personali (come ad esempio Computers, Server, Smartphone, Tablet ecc. ecc.) dovrà poter garantire la protezione di tali dati sensibili, per essere idoneo a quanto imposto dal GDPR.

Nonostante il regolamento sia prossimo all’entrata in vigore, la maggior parte delle aziende non è ancora pienamente a conoscenza degli obblighi imposti dalla normativa.
Non è a tutti chiaro il significato di “dato personale”. Per il 64% degli intervistati, la data di nascita di un cliente non rientra in questa categoria; per il 32% a non farne parte sono gli indirizzi di domicilio, mentre il 21% esclude persino gli indirizzi mail.

Cosa cambia per l’azienda?

Le aziende, così come  gli uffici e gli studi legali che gestiscono quotidianamente dati personali di clienti acquisiti e potenziali, dovranno fare i conti con la nuova normativa.

In virtù del principio di “accountability” il GDPR dispone che il titolare del trattamento dei dati dovrà impegnarsi ad attuare “misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento”.
In particolare il GDPR all’art. 24 prevede che “il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento.”

Per alcuni enti ed aziende sarà necessario nominare un DPO, ovvero il “Data Protection Officer“, una figura molto importante che avrà l’obbligo di seguire le pratiche relative al “Data Protection” nonché di contattare l’Autorità Garante nei casi previsti dalla normativa.

Cosa può fare l’azienda?

Molte attività informatiche coinvolgono dati personali e sensibili, pertanto il sistema informativo deve essere strutturato in modo adeguato a garantirne la sicurezza.

La nuova normativa non parla di “misure minime” ma di “misure adeguate”, pertanto di seguito vi proponiamo a titolo d’esempio alcuni interventi consigliati:

  • preparare un registro del trattamento dei dati che illustri la mappatura dei dati;
  • introdurre un regolamento interno all’azienda;
  • formare adeguatamente il personale;
  • introdurre password complesse;
  • utilizzare antivirus;
  • introdurre strategie di backup adeguate;
  • installare un firewall (guarda il nostro firewall) per la protezione front-end del sistema;
  • proteggere il centralino telefonico se in ambito IP;
  • proteggere le reti wireless e cablate con adeguati standard di sicurezza;
  • introdurre sistemi di monitoraggio;
  • strutturare “policy” di accesso per dati locali, in rete, portabili, cloud;
  • valutare le esposizioni aziendali e personali nei social network;
  • contattare XGlobe!