Questionario di autovalutazione privacy
COMPLIANCE GDPR
COMPLIANCE GDPR
Il questionario consente di valutare l’attuale grado di adeguamento e conoscenza alla normativa privacy. A seguito delle domande, verrà fornita subito una diagnosi che evidenzierà il livello di conoscenza riguardo i principali argomenti del nuovo regolamento europeo GDPR e il livello di compliance raggiunto. Il risultato ti sarà mostrato immediatamente (non dovrai lasciare i tuoi dati per visualizzarlo) e, pur avendo uno scopo puramente indicativo, può aiutare a prendere consapevolezza dell’attuale stato di applicazione del regolamento europeo sulla protezione dei dati, presso la propria organizzazione. Rispondi a tutte le domande e attendi il caricamento della pagina con l’esito della tua autovalutazione.
Definire un'organizzazione privacy interna, risponde a un principio cardine del GDPR Scopri perchè
Redigere un regolamento privacy, risponde a un principio cardine del GDPR Scopri perchè
L' articolo 29 del GDPR evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare” Scopri perchè
Come parte del progetto di conformità al Regolamento generale sulla protezione dei dati (GDPR) è necessario mappare tutti i trattamenti dei dati personali Scopri perchè . Individuati e descritti i trattamenti è opportuno svolgere per ogni trattamento un’analisi dei rischi di una eventuale violazione per i diritti e le libertà delle persone Scopri perchè
Oltre all’analisi dei rischi, ogniqualvolta sussistano determinate condizioni il GDPR richiede esplicitamente la valutazione d’impatto (DPIA) la cui mancata esecuzione comporta sanzioni per il titolare Scopri perchè
La tenuta del registro dei trattamenti è prevista dall'articolo 30 del regolamento europeo, ed è considerata indice di una corretta gestione dei trattamenti Scopri perchè Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere ed è quindi necessario definire chi dovrà curare la corretta tenuta del registro. . Scopri perchè
Il Registro delle Violazioni è un adempimento necessario ai sensi del GDPR, ciò risulta chiaro da una lettura attenta dell'articolo 33 del Regolamento EU 679/2016 Scopri perchè
L’articolo 28 del GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate Scopri perchè
Il DPO è designato dal titolare o dal responsabile del trattamento (art. 37 GDPR), in base ad un contratto. La designazione dovrà essere comunicata all'Autorità di controllo nazionale. Esistono alcuni casi in cui è obbligatorio procedere alla nomina di un DPO, altri in cui è fortemente consigliato. Scopri perchè
Per intraprendere un percorso di adeguamento efficace, è opportuno esaminare periodicamente le modalità di trattamento dei dati personali e valutare se si possano rendere più sicuri ed efficaci, individuando delle azioni di miglioramento e riduzione dei rischi oltre che rimediare a situazioni di non conformità. E’ sempre necessario dimostrare la conformità attraverso idonei processi di reportistica e una documentazione aggiornata. Scopri perchè
Il principio di accountability è il fulcro attorno al quale si sviluppa l’intero GDPR. Non basta adeguarsi, ma bisogna mantenersi compliant al regolamento anche con il passare del tempo. Scopri perchè
Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12 GDPR). Ciò avviene tramite l'informativa. Scopri perchè
Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, al trattamento dei dati personali che lo riguardano. Scopri perchè
La revoca al trattamento dati è un diritto che può essere esercitato da parte dell’interessato in qualsiasi momento, secondo alcuni presupposti ben precisi, e comporta anche alcuni oneri per il titolare del trattamento. Scopri perchè
La protezione dei dati conservati su carta, è anch'essa disciplinata dal nuovo regolamento GDPR: devono, cioè, essere protetti dalla consultazione da parte di persone che non fanno parte del personale dell'azienda, finendo magari in mani sbagliate. Per questo motivo i documenti devono essere catalogati in modo corretto ed archiviati in sicurezza Scopri perchè
Gli archivi documentali sono oggetto del GDPR: chi raccoglie i dati deve mettere in atto una serie di procedure – personalizzate in base al proprio specifico caso e alla propria specifica attività – per contenere i rischi e garantire i diritti agli Interessati. Gli archivi documentali, ovviamente, possono essere sia digitali sia fisici, e questo è il motivo per cui anche gli archivi cartacei devono essere protetti secondo i principi e i doveri disciplinati dal nuovo Regolamento Scopri perchè
E’ importante che l’architettura informatica sia inventariata correttamente in tutte le componenti e che, per ognuna, venga fatta un’analisi della resilienza operativa e in caso di disastro. Inoltre, è necessario aggiornare periodicamente l'inventario per assicurarsi che i dispositivi siano in linea con gli ultimi aggiornamenti disponibili e non siano, invece, obsoleti e non più idonei. Scopri perchè
La corretta gestione dell'inventario consente di identificare e valutare potenziali rischi riguardanti la sicurezza delle informazioni in modo da evidenziarne l’esposizione a vulnerabilità e possibili minacce, come fase propedeutica alla valutazione dei rischi. Tenere e aggiornare un inventario software (così come quello Hardware), inoltre, aiuta a mantenere un adeguato livello di consapevolezza e accountability, così come espressamente richiesto dal GDPR Scopri perchè
Le password a protezione di archivi o di sistemi di accesso a informazioni personali, devono rispettare il principio generale dell’art. 32 del GDPR, quindi devono essere adeguatamente sicure in relazione ai sistemi e alle informazioni che devono proteggere Scopri come
Per il principio di proporzionalità, ovvero secondo l'importanza, la quantità e la particolarità dei dati che vengono trattati in azienda e la possibilità di quest'ultima di intervenire con i giusti correttivi, il Titolare del trattamento deve mettere in atto tutte le misure di sicurezza necessarie per garantire un adeguata protezione dei dati, sia digitali che cartacei. Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, dotarsi di un antivirus aggiornato ed efficiente, può aiutare al raggiungimento della compliance GDPR Scopri perchè Uno dei passi fondamentali per allinearsi alla compliance GDPR, è quello che il Titolare deve fare verso il consolidamento della sicurezza informatica. A tale scopo è necessario implementare gli strumenti di sicurezza adatti come ad esempio sistemi antivirus, anti malware e antispyware validi ed efficaci. Naturalmente insieme ad un buon pacchetto di protezione restano valide le precedenti misure di sicurezza, come l'aggiornamento costante dei sistemi, il backup regolare dei dati e la gestione e controllo delle password Scopri perchè
Tra i vari compiti dell'amministratore di sistema, sono inclusi anche quelli di classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali comuni e sensibili, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali. La nomina di un amministratore di sistema da parte di un Titolare dei trattamenti, aiuta a rispondere agli obblighi di rispettare i principi di accountability, privacy by design e privacy by default Scopri perchè
I log file rappresentano uno strumento capace di “fotografare” le operazioni compiute sui sistemi informatici e quindi sui dati personali. Se correttamente “sfruttati”, consentono di garantire la sicurezza dell’infrastruttura informatica e la conseguente lecita gestione dei dati personali Scopri perchè
Un'infrastruttura IT altamente sicura è un buon punto di partenza per garantirsi la conformità al GDPR. Scopri perchè
SEI COMPLIANCE ALLA GDPR?
In base alle risposte fornite, abbiamo elaborato il tuo profilo
SEI COMPLIANCE ALLA GDPR?
In base alle risposte fornite, abbiamo elaborato il tuo profilo
GDPR: perchè definire l’organizzazione interna ed un organigramma privacy con compiti e responsabilità?
Il Regolamento Europeo 679/2016, richiede che siano sempre definiti con chiarezza i ruoli privacy e le responsabilità dei soggetti che, a diverso titolo, intervengo nel processo di trattamento dei dati personali, tra cui il Titolare del trattamento (che è l’ente, la società o la persona giuridica nel suo complesso) il Responsabile del trattamento e gli incaricati. Il Titolare del trattamento ha il dovere, in ragione del principio di responsabilizzazione, di determinare finalità e mezzi del trattamento dei dati , dotandosi di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente (art. 24 GDPR)
L’organigramma tipo sarà quindi composto in linea di principio da:
GDPR: perchè redigere un regolamento interno privacy
Il Regolamento pone l’accento sulla “responsabilizzazione” di Titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai Titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.
Redigere e condividere un regolamento interno privacy non solo offre un riferimento normativo a tutti i soggetti coinvolti nel trattamento dei dati personali, ma aiuta il titolare a raggiungere quel grado di “responsabilizzazione” richiesto dal Regolamento.
GDPR: la formazione in ambito privacy tra gli obblighi del regolamento sulla protezione dei dati personali
Il Regolamento UE 679/2016 evidenzia in vari punti la necessità e l’importanza della formazione dei soggetti autorizzati al trattamento dei dati personali.
In primo luogo, l’articolo 29 del GDPR evidenzia come “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare”.
Tale obbligo di formazione si inserisce all’interno del più ampio obbligo previsto dall’articolo 32 del GDPR, il quale prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Rientra, pertanto, tra le misure di sicurezza che dovranno essere applicate dal titolare e dal responsabile del trattamento l’adozione di un piano di formazione, il quale consentirà di incrementare la consapevolezza negli individui e ridurre l’errore umano, che molto spesso è il principale fattore di rischio e può comportare delle problematiche per l’azienda, che possono anche tradursi in danni e perdite per la stessa, per quanto attiene sia alla violazione dei dati personali sia ai rischi ed ai danneggiamenti legati alla cyber security.
GDPR: la mappatura dei trattamenti
Secondo il principio della responsabilizzazione, il titolare del trattamento deve essere in grado di poter dimostrare in qualsiasi momento che le attività di trattamento rispettino gli obblighi e i requisiti del GDPR.
Tuttavia, nessun titolare può fornire questa prova, senza conoscere bene quali dati tratta, per quali finalità li tratta, in quale contesto li tratta, come li tratta e dove li conserva. La mappatura dei dati personali rappresenta, quindi, una attività fondamentale in ogni processo di adeguamento al GDPR (Regolamento UE 679/2916).
Mappare i dati personali significa creare una relazione tra i dati trattati ed altri aspetti dell’organizzazione che li tratta, come:
GDPR e l’analisi dei rischi dei trattamenti
Benchè il testo della normativa non faccia ma riferimento al termine “Analisi dei rischi“, è evidente che la valutazione di quali siano le misure tecniche ed organizzative adeguate da adottare, non può prescindere da una valutazione di quali siano i rischi, secondo un approccio basato sulla loro probabilità ed impatto, cioè secondo – appunto – un’analisi dei rischi. L’obiettivo di questa analisi è valutare i rischi al fine di mettere in atto misure adeguate al rispetto dell’intera normativa. Questa valutazione del rischio dovrebbe portare alla stesura di un documento utile per definire successivamente le misure per ridurli, ove possibile e necessario ma, soprattutto, all’identificazione di quei trattamenti che dovranno, poi, essere sottoposti a successiva valutazione di impatto (o DPIA).
La valutazione di impatto sulla protezione dei dati (DPIA)
L’art. 35 del GDPR al n. 1 precisa che “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Il Registro delle attività di trattamento: cos’è e chi è tenuto a redigerlo
La tenuta del registro dei trattamenti è prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.
L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. Il registro, che è un documento interno, deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche. Ovviamente il registro deve essere costantemente aggiornato. il registro deve anche recare “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.
Chi è tenuto a redigerlo? Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
Chi deve aggionrare il Registro dei Trattamenti?
Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute. Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. E’ il Titolare dei trattamenti ad aggiornare il registro o, in alternativa, suo apposito incaricato secondo l’organizzazione interna in materia di gestione privacy e protezione dati personali.
Il Registro delle Violazioni è un adempimento necessario ai sensi del GDPR, ciò risulta chiaro da una lettura attenta dell’articolo 33 del Regolamento EU 679/2016. Qui si possono trovare i comportamenti da tenere in caso di dover procedere ad una “Notifica di una violazione dei dati personali all’autorità di controllo”.
L’articolo oltre che a elencare come una notifica vada effettuata, con quali modalità e con quali contenuti, ci dice nello specifico, al punto 5 che:
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
La nomina dei responsabili esterni del trattamento
Il mondo del lavoro è, per sua natura, basata su una interconnessione di relazioni perciò, inevitabilmente, i dati in possesso del titolare del trattamento vengono comunicati a più soggetti esterni, sia in forza di precise imposizioni di legge, sia per meri motivi tecnico-organizzativi.
Gli esempi possono essere moltissimi: si va dal consulente del lavoro al commercialista, dal legale alla società di recupero crediti, dal medico del lavoro alla società che cura l’adeguamento al D.L. 81/08, dalle assicurazioni al consulente privacy, dalle banche ai consulenti della qualità eccetera.
Ogni soggetto esterno al titolare del trattamento deve essere ben definito ed inquadrato nell’impianto privacy. Il Titolare del Trattamento dei dati è obbligato a nominare con un’apposita nomina con contratto o altro atto scritto (ai sensi del c.3 art.28 GDPR), ogni soggetto esterno come responsabile esterno del trattamento, come amministratore di sistema (quando ne ricopra il ruolo) e come autonomo titolare del trattamento (quando ne sussistano i requisiti o come subordine nel caso di mancata accettazione della nomina a responsabile).
Quando è necessario nominare un DPO
La designazione del DPO riflette il nuovo approccio del regolamento europeo (art. 39), maggiormente responsabilizzante, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare e del responsabile.
La designazione di un DPO è obbligatoria in uno di questi tre casi:
In ogni caso anche se non si è obbligati è sempre possibile e segno di responsabilità nominare un DPO e farsi assistere da un professionista per la corretta gestione dei trattamenti dei dati personali.
Un remediation plan efficace dovrà mettere in luce le possibili fonti di rischio: comportamenti del personale interno all’azienda (distrazione) o di attori esterni (azioni fraudolente), ma anche eventi che possano colpire gli strumenti e le tecnologie utilizzate nelle attività di trattamento o incidere sul contesto del trattamento (virus informatici, guasti e furti di apparati IT?). In generale, dovranno essere considerate tutte le eventualità che potrebbero causare una violazione, come l’accesso non autorizzato, la modifica o alterazione, la perdita o la diffusione dei dati personali. Un remediation plan efficace dovrà valutare la probabilità del verificarsi di ciascun rischio e stimarne l’impatto. Una volta compresi i rischi, la parte più difficile sarà gestirli, quindi decidere se un determinato rischio debba essere eliminato, mitigato o accettato.
Affinché la conformità sia effettiva, il Titolare deve essere in grado dii “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, anche attraverso un riesame e aggiornamento delle stesse. Le misure tecniche e organizzative che devono essere messe in atto ai sensi dell’art. 32 comprendono infatti “una procedura per testare, verificare e valutare regolarmente” l’efficacia delle sesse al fine di garantire la sicurezza del trattamento. La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di informare l’ interessato, sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento. L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso.
Gli interessati devono sapere che stai raccogliendo i loro dati, perché li stai elaborando e con chi li condividi.
Dovresti pubblicare l’informativa sulla privacy e inserirla in qualsiasi modulo o comunicazione che invii a persone fisiche.
L’informativa deve essere:
Il contenuto dell’informativa dipende dal fatto che i dati personali siano stati ottenuti direttamente dall’interessato o da una terza parte. Poichè ogni titolare ha le proprie modalità e finalità per il trattamento dei dati personali che raccoglie, l’informativa dovrà essere specificatamente redatta per rispecchiarne tali peculiarità, con particolare riguardo, inoltre, ai modi con cui l’interessato può esercitare i propri diritti (richiesta di copia dei dati, di revoca del consenso, cancellazione, ecc..).
Il GDPR stabilisce reqisiti rigorosi per la raccolta del consenso. Raccogliere il consenso significa offrire agli interessati una scelta e un controllo autentici su come si utilizzano i loro dati personali. Puoi creare un clima di fiducia e migliorare la tua reputazione usando correttamente le modalità previste, condividendo informazioni sulla gestione delle informazioni che raccogli, con testi chiari e comprensibili..
Il GDPR si basa su criteri precisi per il consenso in diverse aree e contiene punti molto dettagliati:
Ricorda, infine, di tenere sotto controllo il consenso e aggiornalo se cambia qualcosa. È necessario disporre di un sistema o di una metodologia per acquisire queste revisioni e registrare qualsiasi modifica.
Tra i diritti degli interessati previsti dal Regolamento europeo sulla Protezione dei Dati Personali, quello che tutela in particolar modo la libertà di scelta degli utenti è il diritto alla revoca del consenso. Secondo l’Art. 7 del GDPR, “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento” e il consenso deve poter essere revocato “con la stessa facilità con cui è stato accordato”.
Quando i dati personali degli utenti e i consensi prestati per le varie finalità sono distribuiti su più supporti, software e database non centralizzati, rispondere ai diritti degli interessati diventa molto complesso, soprattutto nei casi di revoca o limitazione del consenso. Il rischio di un ritardo o di una risposta incompleta agli utenti che lo richiedono può causare una crisi interna che si ripercuote sia sull’aspetto finanziario, con le sanzioni previste dal GDPR, sia sull’aspetto reputazionale, con gravi danni di immagine per l’azienda.
Per questo è importante che le aziende valutino delle soluzioni per una gestione dei dati personali e dei consensi centralizzata e conforme, e predispongano delle procedure per rispondere ai diritti degli interessati nei 30 giorni previsti dal Regolamento.
Una “Clean-Desk-Policy” regola la gestione sicura dei dati sul posto di lavoro da parte del personale in azienda. Redigerne una è fondamentale per la corretta applicazione della nuova normativa europea in materia di protezione dei dati. Ecco perché è importante che il personale partecipi a corsi di formazione per essere conforme al GDPR. Una tipica “Clean-Desk-Policy” disciplina fra le altre cose che
I dati conservati su supporti cartacei devono essere adeguatamente protetti. In base alla nuova normativa, infatti, è necessario che i documenti cartacei siano conservati in maniera agevole – per essere facilmente ritrovati – e sicura; per questo motivo, gli uffici dovrebbero essere dotati di armadi, classificatori e cassettiere con chiusura a chiave, strutture ignifughe per minimizzare il rischio di perdita di dati in caso di incendi e casseforti. Inoltre, come buona norma, in ufficio dovrebbe essere presente anche un distruggidocumenti per eliminare fisicamente i documenti contenenti i dati personali che non devono essere più trattati.
L’inventario hardware quale elemento per aumentare il proprio grado di sicurezza e “Accountability”
La sicurezza è un obiettivo primario nel regolamento GDPR. Al fine di rispettare il principio di “Accountability” sancito dall’art.32 del reg. UE 2016/679, è necessario procedere alla costruzione di un sistema di sicurezza, formato da misure sia tecniche sia organizzative, che sia in grado di ridurre i rischi presentati dal trattamento. Per quanto riguarda la propria infrastruttura informatica, si può, ad es., procedere con i seguenti passaggi:
• istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni
• acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici.
Per svolgere correttamente queste azioni, è necessario quindi stilare un inventario Hardware completa e aggiornata.
L’inventario software quale elemento per aumentare il proprio grado di sicurezza e “Accountability”
La sicurezza è un obiettivo primario nel regolamento GDPR. Al fine di rispettare il principio di “Accountability” sancito dall’art.32 del reg. UE 2016/679, è necessario procedere alla costruzione di un sistema di sicurezza, formato da misure sia tecniche sia organizzative, che sia in grado di ridurre i rischi presentati dal trattamento. Per quanto riguarda la propria infrastruttura informatica, si può, ad es., procedere con i seguenti passaggi:
• istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) un archivio delle licenze dei software applicativi usati, evidenziandone data di acquisto, scadenza e rinnovo.
• generare un archivio dei fornitori degli applicativi software, catalogandone dati di contatto, contratti ed eventuali lettere di nomina a responsabili del trattamento dei dati
Relativamente alla gestione delle credenziali e delle password, va fatto notare che è necessario implementare delle policy idonee a garantire maggior sicurezza ai sistemi, come ad esempio:
La password dovrebbe essere composta da almeno otto caratteri, non dovrebbe contenere riferimenti facilmente riconducibili all’incaricato e dovrebbe essere modificata almeno ogni sei mesi, se trattasi di dati comuni, o ogni tre mesi in caso di trattamento di dati sensibili o giudiziari. La password dovrebbe essere conosciuta solo dall’incaricato. Il titolare o il responsabile del trattamento dovrebbero, inoltre, prevedere le modalità di accesso al sistema protetto da password in caso di prolungata assenza dell’incaricato.
Ogni impresa, ente o associazione, utilizza certamente una rete per condividere dati e informazioni. Se da un lato la condivisione dei dati e la libertà di navigazione ottimizzano tempo e risorse, dall’altro la connessione internet espone tali dati a minacce esterne che ne potrebbero compromettere l’integrità. Una delle priorità per la protezione di una rete informatica, soprattutto in ambito aziendale, è certamente la presenza di un sistema di difesa come antivirus e firewall. Per mettere in sicurezza la propria rete informatica un’azienda non può limitarsi a installare antivirus o antimalware domestico. Sul mercato, infatti, esistono diversi strumenti in grado di offrire il grado di sicurezza necessario. Contatta il nostro staff per maggiori informazioni.
Implementare una sicurezza stratificata molto seria dal punto di vista informatico è un passo fondamentale per proteggere i dati personali trattati e, quindi, per aumentare il proprio grado di compliance GDPR. Per questo motivo la prevenzione è alla base di tutto, ma non basteranno tradizionali difese come l’antivirus o un Firewall. Saranno indispensabili, invece, update regolari dei sistemi di sicurezza e dei software, fondamentali per il mantenimento in sicurezza dell’infrastruttura. Inoltre l’utilizzo di software di vulnerability scan, investendo quindi in nuovi dispositivi più sicuri e apportando i giusti sistemi di sicurezza, per evitare possibili potenziali violazioni. Formare i dipendenti sui rischi degli attacchi informatici è altrettanto importante dato che la maggior parte degli attacchi informatici sono dovuti a errori da parte dei dipendenti.
Nell’articolo 32 del Regolamento, rubricato “Sicurezza del trattamento”, al punto 1) lett. a), b), c) e d) si fa riferimento ad alcune delle possibili tecniche per la salvaguardia dei dati in formato digitale. Data la complessità di alcune delle stesse, come il backup e ripristino dei dati o le tecniche di rilevazione delle criticità presenti nella rete, si presume che la figura addetta a queste attività abbia esperienza, capacità e affidabilità tipiche dell’amministratore di sistema, come individuato nel provvedimento del Garante nel 2008.
L’entrata in vigore del Regolamento Europeo 2016/679, noto come “GDPR”, ha indotto le aziende e i liberi professionisti a ridefinire le proprie politiche di trattamento dei dati personali, adottando soluzioni destinate ad implementare i profili di sicurezza dei sistemi informativi impiegati nella gestione delle informazioni. I log file consistono in file di testo all’interno dei quali vengono memorizzate, in ordine cronologico, le operazioni compiute dai sistemi ovvero le operazioni compiute dagli utenti sui computer o su altri dispostivi hardware, nonché sulle applicazioni software.
Con l’entrata in vigore del GDPR, i log file si sganciano dalle esigenze di controllo dell’operato degli amministratori di sistema, acquisendo più ampia portata nell’ottica di protezione dei dati personali.
Seppur non espressamente menzionato all’interno del GDPR, l’obbligo di registrazione e conservazione dei log file discende direttamente dal principio cardine della nuova normativa in materia di trattamento dei dati personali, ovvero dal principio di accountability, specificatamente individuato dall’art. 24, par. 1 del GDPR.
GDPR e le “misure adeguate per garantire la sicurezza dei dati”
L’articolo 32 del GDPR recita che il titolare deve “mettere in atto misure adeguate per garantire la sicurezza dei dati”. In particolare, impone di garantire integrità, riservatezza, resilienza e disponibilità dei sistemi che gestiscono i dati. Nello stesso Regolamento, poi, è indicato come la conformità dei sistemi a certificazioni o codici di condotta particolari (come quelli sulla Business Continuity), attenui il rischio di data breach. Queste indicazioni dovrebbero spingere, quindi, il Titolare del trattamento a scegliere piattaforme tecnologiche e servizi che assicurino adeguati standard di sicurezza (meglio se oggetto di certificazioni), che gli permetteranno di poter dimostrare che la sua condotta è tesa a garantire la conformità al GDPR anche in caso di violazioni.