Blog

GDPR: cosa fare per essere in regola

general-data-protection

GDPR (General Data Protection Regulation- Regolamento UE 2016/679) è il nuovo regolamento generale sulla protezione dei dati che avrà efficacia a partire dal 28/05/2018, due anni dopo la sua entrata in vigore.

Il regolamento GDPR si propone di semplificare ed uniformare la gestione della protezione dei dati per tutti i paesi dell’Unione Europea, risolvendo in particolar modo problematiche relative ad aziende che hanno sedi in paesi diversi. Le aziende dovranno identificare delle chiare procedure di gestione dei dati personali, valutare l’impatto sulla protezione dei dati rispetto ai rischi a cui sono esposti, essere in grado di documentare la propria conformità e assicurarsi di essere in possesso dei processi e delle tecnologie necessarie per la cancellazione dei dati in risposta alle richieste dei soggetti che ne fanno richiesta qualora cessino i motivi per cui si era dato il consenso (diritto all’oblio).

Le sanzioni previste sono molto severe: fino a 20 milioni di Euro o al 4% del proprio fatturato mondiale, se maggiore. Infatti si stima che circa il 90% delle organizzazioni hanno già subito delle perdite di dati e l’Unione Europea vuole intervenire in modo da invertire questa tendenza.

Si tratta di un’opportunità per mettere in sicurezza i dati personali, riorganizzare i processi e migliorare la propria competitività. Ma da un punto di vista operativo quali sono le regole da seguire?

Possiamo individuare tre aree di intervento:

  • Procedure interne GDPR
  • Comunicazioni con i soggetti di cui si possiedono i dati
  • Attività di gestione in caso di compromissione dei dati

Senza la pretesa della completezza, il regolamento è composto da 99 articoli, analizziamo queste tre direttrici individuando quali strumenti possono aiutarci ad ottemperare il regolamento in modo più semplice ed efficace. Per chi è interessato a consultare il testo del regolamento ecco il link diretto al sito dell’Unione Europea.

Avast Managed WorkplaceProcedure interne GDPR

Accountability

Un aspetto fondamentale del nuovo regolamento GDPR è legato alle persone, fisiche o giuridiche, che hanno responsabilità nel trattamento dei dati. Individuiamo in generale tre soggetti:

  1. Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
  2. Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
  3. Responsabile della protezione dei dati (Data Protection Officer): la persona fisica designata dal titolare e dal responsabile del trattamento quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico e il trattamento richiede il monitoraggio regolare e sistematico degli interessati su larga scala.

I compiti del responsabile della protezione dei dati sono:

  • informare e fornire consulenza internamente all’azienda in merito al trattamento dei dati
  • sorvegliare l’osservanza del regolamento
  • se necessario fare una valutazione dell’impatto dei trattamenti previsti sulla privacy
  • cooperare con l’autorità di controllo
  • comunicare con l’autorità di controllo
  • valutare i rischi inerenti al trattamento dei dati

Risk Management: Anonimizzazione e Minimizzazione

La gestione dei dati personali entra a tutti gli effetti nella gestione di rischi connessi con l’operatività aziendale. la norma ISO/IEC 27001:2005 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) definisce i requisiti per impostare e gestire un Sistema di gestione della Sicurezza delle Informazioni sia dal punto di vista logico, fisico ed organizzativo.  L’anonimizzazione consiste nel trattare i dati personali in modo anonimo, slegandoli in tutti i casi in cui non è necessario, dall’identità della persona a cui si riferiscono. Inoltre la minimizzazione indica che i dati trattati devono essere ridotti allo stretto indispensabile. Questo approccio in molti casi può richiedere una riprogettazione dei processi di gestione dei dati in modo da che la protezione dei dati sia presente fin dalla progettazione e che la protezione dei dati avvenga per impostazione predefinita (Privacy by Design e by Default).

PIA (Privacy Impact Assessment)

Lo strumento basilare per censire i rischi legati alla privaci è il Privacy Impact Assessment che permetta di valutare la situazione di partenza ed implementare le azioni future per gestire le non conformità alla normativa rilevate. Diventa anche l’occasione per determinare i rischi e gli effetti che ne conseguono ed adottare le eventuali protezioni o processi alternativi adatti a mitigare i potenziali rischi per la privacy.

La valutazione di impatto sulla privacy si riassume in 4 fasi:

  • Definizione del campo di applicazione del processo PIA
  • Analisi del flusso dei dati mappando i processi di business che riguardano i dati personali
  • Analisi della privacy mediante indagini volte a individuare eventuali rischi
  • Redazione della valutazione di impatto Privacy documentando i rischi rilevati e le potenziali implicazioni in modo da porre rimedio o mitigarle

privacy policyComunicazioni con i soggetti di cui si possiedono i dati

Consenso dell’interessato e diritto all’oblio

I soggetti di cui si useranno i dati deve sempre manifestare il consenso in modo esplicito con una dichiarazione scritta o anche in formato elettronico o verbale (con registrazione) ed ogni comunicazione dovrà far riferimento ad un preciso consenso formalizzato e presentabile nel caso l’interessato ne facesse richiesta. Ovviamente l’interessato ha sempre il diritto di revocare il consenso (diritto all’oblio) applicabile solo nel caso in cui il titolare del trattamento dei dati non sia più legittimato a detenerli. Nel caso in cui l’azienda sia legittimata a trattenerli per memoria storica di archivio, ad esempio un cliente o un dipendente, ovviamente la cancellazione non potrà avvenire.

Registri dei trattamenti

Il regolamento GDPR prevede anche la tenuta di due registri sui quali conservare e mantenere aggiornate varie informazioni:

Il registro del titolare del trattamento è un registro delle attività di trattamento svolte sotto la propria responsabilità e contiene tutte le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative;

Il registro del responsabile del trattamento è un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

GDPR

Attività di gestione in caso di compromissione dei dati

Violazione dei dati personali

La violazione di sicurezza dei dati (Data Breach) è un evento che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. La causa di questo evento può essere un attacco informatico, un accesso abusivo non autorizzato, incidenti o eventi catastrofici (incendi o calamità).

In caso in cui si presenti questa eventualità il regolamento GDPR prevede l’obbligo di notifica all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza. Dovrà essere anche comunicata la natura della violazione, il numero degli interessati, le conseguenze della violazione, ecc… Dovranno anche essere descritte le misure adottate o che si propongono per porre rimedio alla violazione e come attenuarne i possibili effetti negativi.

Anche l’interessato dovrà essere informato a meno che non sia sproporzionatamente complesso farlo in modo diretto o le misure tecniche ed organizzative prese rendano i dati personali violati non intellegibili a chiunque non sia autorizzato ad accedervi.

Cosa si può fare?

Il nuovo regolamento GDPR comporta un approccio molto più responsabile alla gestione dei dati. Per dimostrare di aver attuato tutte le azioni possibili per proteggere i sistemi informatici è indispensabile utilizzare un potente antivirus, meglio se con una console centralizzata, in modo da monitorare facilmente eventuali brecce nella sicurezza aziendale. Avast Business e Avira Antivirus, con la possibilità di utilizzare la console in cloud o on-premise, offrono soluzioni versatili e complete contro tutte le minacce informatiche, comprese le minacce 0-days ed i ransomware di ultima generazione.

Per essere sempre in grado di recuperare i dati trattati è di fondamentale importanza disporre di un sistema per il backup e ripristino dei dati efficiente e facile da utilizzare. Novastor NovaBACKUP rappresenta una soluzione ideale adatta al singolo server fisico o a sistemi virtualizzati con VMWare o HyperView.

Ma tutto questo potrebbe non bastare! Per scoprire quali sono le vulnerabilità presenti nella propria rete e gestirle secondo una logica di priorità ai fini della sicurezza, diventa importante dotarsi di sistemi in grado di eseguire un costante audit sulla sicurezza del proprio sistema informativo. Entrambi i brand che distribuiamo, Avast ed Avira, offrono degli strumenti per monitorare costantemente lo stato di salute della rete informatica dei nostri clienti. Ad esempio la funzione Security Score di Managed Workplace nasce proprio con questo scopo. Consente di monitorare 4 importanti aspetti che hanno un diretto impatto sulla tutela dei Dati aziendali imposta dal GDPR:

  • Antivirus Security: Sono state individuate minacce? Il motore e le definizioni dell’Antivirus sono aggiornate?
  • Patch Security: Ci sono delle patch o degli update non ancora applicati?
  • User Security: Ci sono utenti con password troppo deboli? Ci sono account che hanno password scadute?
  • Network Security: Cifratura WiFi inadeguata? SSID delle reti WiFi visibile?

Managed Workplace, oltre a monitorare ed inviare alert sui problemi riscontrati, aiuta i tecnici a gestirli secondo una scala di priorità e con potenti tool in grado di automatizzare tantissime operazioni di routine necessarie per garantire l’efficienza e la sicurezza dei sistemi informatici.

Anche le console che Avira propone per la gestione dell’antivirus offrono varie funzionalità opzionali ed adatte a tutte le esigenze che consentono una manutenzione proattiva della rete informatica e della sicurezza informatica.

@mauroaiuto