Che cosa significa GDPR? E’ l’acronimo di General Data Protection Regulation. Si tratta di una nuova legge di livello Europeo che è già entrata in vigore e sarà effettiva dal 25 Maggio 2018; definisce le regole, i modelli e le best practice per la protezione dei dati personali, identificandoli come tutte le informazioni relative ad un individuo, connesse alla sua vita sia professionale che privata: si spazia dai nomi alle fotografie, dall’indirizzo e-mail ai dettagli bancari.
Figure coinvolte
- Persona fisica: il proprietario dei dati. Deve fornire un consenso esplicito e scritto per la raccolta e la gestione dei propri dati personali.
- Controller: il titolare del trattamento. Si assume il rischio di eventuali data breach.
- Processor: il responsabile del trattamento.
- Data Protection Officer (DPO): si tratta del responsabile della protezione dei dati. È incaricato di avvisare il Controller in caso di vulnerabilità che possano minacciare la protezione dei dati.
- Supervisory Authority: il garante per la protezione dei dati personali.
- European Data Protection Board (EDPB)
Diritti degli utenti
- Essere informati riguardo i motivi di utilizzo dei propri dati personali: perchè ed in che modo vengono utilizzati i suoi dati?
- Deve avere un accesso libero a tutti i dati che ha fornito. In aggiunta, deve avere la possibilità di trasferire i propri dati da un fornitore ad un altro (portabilità dei dati).
- Deve poter richiedere la modifica, la cancellazione e la rimozione dei propri dati. Queste operazioni devono essere facilmente eseguibili (con lo stesso sforzo che si è fatto per concedere i propri dati).
- Essere tempestivamente informato in caso di un data breach.
- All’utente deve essere garantito il rispetto di tutte le leggi in vigore. Oltretutto, un focus particolare deve essere posto sulle leggi che regolamentano il traffico dei dati fuori dall’Unione Europea.
Doveri delle aziende
- Provare che l’individuo abbia fornito esplicito consenso per il trattamento dei suoi dati. In aggiunta, devono disporre di questi dati in un modo trasparente ed appropriato.
- Proteggere questi dati dalla distruzione accidentale o illegale, dalla loro eventuale perdita e dalla loro eventuale modificazione. Inoltre, le compagnie devono proteggere i dati da accessi e divulgazioni non autorizzate.
- Devono poter provare la compliance alle regolamentazioni attraverso misure di governance. Queste misure includono documentazioni dettagliate e valutazioni del rischio periodiche.
- Notificare entro 72 ore in caso di data breach.
Entità coinvolte
Ogni compagnia in ogni paese del mondo che raccoglie e tratta dati personali di cittadini europei.
Sanzioni
Da 20 milioni di euro al 4% del fatturato annuo mondiali totale dell’anno precedente.
Passi per la compliance
- Assessment: effettuare valutazioni a livello di organizzazione, di policy, di processi e di tecnologia.
- Analisi del rischio: analizzare le vulnerabilità ed individuare i rischi a livello di organizzazione, di policy, di processi e di tecnologia.
- Valutazione del rischio: adottare le misure adeguate per la riduzione del rischio, poiché il GDPR non prevede standard minimi.
- Attuazione delle misure adeguate: implementare le misure di sicurezza a livello di organizzazione, di policy, di processi e di tecnologia.
- Training: istruire e sensibilizzare lo staff coinvolto nel processo del trattamento dei dati.
- Aggiornamento periodico: svolgere periodicamente queste attività su base annuale.
Come posso rendere la mia azienda compliant?
Swascan ha sviluppato una speciale piattaforma di CyberSecurity in Cloud e Pay per Use. Puoi consultare immediatamente la nostra brochure e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il GDPR Self-Assessment, Vulnerability Assessment, Network Scan e Code Review.
INIZIA IL TUO FREE TRIAL !
