GDPR e Sicurezza IT

CHE COS’È GDPR?

GDPR è il Regolamento sulla sicurezza dei dati che si adatta all’evoluzione digitale. La Digital Transformation, il Cloud computing e l’Internet of Things sono tra i fattori responsabili di unincremento esponenziale dei dati presenti su scala globale. Si stima, infatti, che negli ultimi due anni sono stati prodotti il 90% dei dati presenti in Internet. Questa mole di dati, che prende il nome di “Big Data”, necessita di particolare attenzione per quanto riguarda la Sicurezza e la Privacy.

La Commissione Europea ha sancito un Regolamento con il quale adempire a questa necessità: GDPR UE 2016/679, acronimo di General Data Protection Regulation. Questo Regolamento ha i seguenti obiettivi:

  1. Rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea.
  2. Affrontare il tema dell’esportazione dei dati personali al di fuori dell’Unione Europea.
  3. Ottimizzare il controllo dei dati personali dei cittadini residenti nell’Unione Europea, adattando lanormativa in base al contesto che riguarda gli affari internazionali nella quale si trova il titolare del trattamento degli stessi.
    A differenza dell’attuale direttiva, è ammissibile che il titolare del trattamento sia una società, azienda, impresa od ente con sede legale fuori dall’UE.
  4. Ridurre gli attacchi informatici che mirano al danneggiamento, di qualsivoglia natura, dei Dati personali dei cittadini di cui al punto 3.

REGOLAMENTO UFFICIALE GDPR

GDPR è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno. Dal 25 maggio 2018, inizierà ad avere efficacia, andando a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, e abrogando le norme che risulteranno incompatibili con il Codice per la protezione dei dati personali (dlgs.n. 196/2003) attualmente in vigore.

TESTO IN ITALIANO GDPR

È possibile visualizzare e scaricare il testo completo del GDPR in italiano e in formato PDF dal sito eur-lex.europa.eu, così come è stato pubblicato sulla Gazzetta Ufficiale Europea.

Grazie a questo Regolamento, la Sicurezza dei dati verrà incrementata notevolmente.

IL VERO SIGNIFICATO

GDPR è importante perchè rappresenta uno strumento utile e versatile a disposizione dei titolari del trattamento che si adatta al contesto nella quale l’azienda si trova. Ciò significa che GDPR non è un elenco di rigide norme da rispettare, ma d’altra parte l’azienda deve porre particolare attenzione per poter raggiungere gli obiettivi posti nel Regolamento.

Lo scopo principale del GDPR è quello di ridurre gli attacchi informatici conoscendo le specifiche vulnerabilità dell’azienda. Proprio per la sua versatilità, si impongono anche multe salate in caso di mancato adempimento del Regolamento stesso.

LE NUOVE PAROLE CHIAVE

ACCOUNTABILITY

Il titolare del trattamento dei dati personali è colui che determina le finalità e i mezzi del trattamento, ed è il responsabile dei rischi inerenti ai diritti e alle libertà delle persone fisiche, il quale deve dimostrare di aver adottato le misure adeguate per garantire che il trattamento è effettivamente conforme al Regolamento. Queste misure, proprio per la versatilità del GDPR, si adattano al contesto aziendale.

PRIVACY BY DESIGN

Descrive la necessità di progettare i sistemi informatici che utilizzeranno i dati personali in modo che tutelino la privacy degli interessati al trattamento. In questo modo, si predispone la gestione del ciclo di vita dei dati che inizia con la raccolta e termina con la cancellazione. Inoltre bisogna tener conto dell’esattezza, dell’integrità e della riservatezza dei dati in questione.

Al Data Protection Officer (DPO) o “Responsabile per la protezione dei dati” spetta il compito di progettare (to design) e gestire in sicurezza il sistema informatico che si occupa del trattamento dei dati personali.

PRIVACY BY DEFAULT

Descrive la necessità di tutelare, come impostazione predefinita, la privacy degli interessati al trattamento. In questo modo, solo i dati personali necessari alle finalità del trattamento potranno essere raccolti ed utilizzati dai sistemi informatici e dai responsabili del trattamento, in uno specifico periodo di conservazione.

DIRITTO AL RISARCIMENTO

Chiunque subisca un danno materiale o immateriale provocato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento – o dal responsabile del trattamento -, se e solo se, quest’ultimo non sia in grado di dimostrare che il danno in questione non gli sia in alcun modo imputabile.

Il Regolamento, quindi, prevede l’attribuzione di una tra le seguenti sanzioni economiche:

  • una multa fino a 10 milioni di euro o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4 del Regolamento;
  • fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6 del Regolamento.

Ignorare GDPR può costare caro!

 GDPR COME BENEFICIO

Il Regolamento impone un elevato impegno da parte delle aziende, perchè mette in discussione l’intero sistema di progettazione (a causa del privacy by design). Inoltre, l’impegno economico richiesto non è trascurabile, perchè si richiede di investire nell’adozione di adeguate misure di prevenzione. L’impegno morale ed economico richiesti, però, saranno sempre inferiori rispetto ad un eventuale attacco informatico con l’aggiunta delle sanzioni espresse dal Regolamento.

Oltre al danno, la beffa…

È importante, quindi, capire che il GDPR non è soltanto un costo, ma un guadagno. L’azienda ci guadagna in termini di immagine, perchè verrà apprezzata per la sua attenzione alla privacydei propri clienti, e in termini economici, perchè eviterà eventuali attacchi informatici.

Gli attacchi informatici non sono solo una favola, ma sono un’amara realtà! Di recente è stato sferrato un cyber-attacco a livello mondiale, chiamato Wanna-Cry. Potete approfondire l’argomento su Wanna-Cry nel nostro articolo.

Compresa la vera importanza del GDPR, è naturale porgersi la seguente domanda.

COM’È POSSIBILE SODDISFARE IL GDPR ENTRO IL 25 MAGGIO 2018?

Quello che viene richiesto ai titolari del trattamento è di dimostrare di aver adottato le misure di sicurezza idonee circa il trattamento dei dati. Per poterlo dimostrare, bisogna produrre un documento scritto e/o cartaceo costituito da n. 2 moduli:

  • modulo tecnologico: nel quale dover dimostrare di aver implementato tutte le funzionalità tecniche necessarie, come:
    • Abbattere le vulnerabilità dell’infrastruttura informatica, implementando tecnologie come:
      • Firewall
      • End point
      • Crittografia dei dati personali
    • Formazione degli IT manager, dei manager e del personale, i quali devono essere a conoscenza del Regolamento GDPR e delle modalità di utilizzo dei dati personali.
  • modulo legale: nel quale dover dimostrare un adeguamento legale in linea con quanto espresso dal GDPR, affrontando temi come:
    • Privacy by default: La quantità di dati personali utilizzati deve essere ridotto al minimoindispensabile per poter raggiungere le finalità previste nel periodo di tempo necessario a tali fini.
    • Privacy by design: Ponendo la privacy dell’interessato al trattamento al centro del progetto in questione. In questo modo, si cerca di prevenire eventuali rischi di incorre a danni all’interessato, che si riflettono poi sull’azienda stessa, in termini economici e di immagine.

Questo documento prende il nome di Assessment, in cui il titolare del trattamento include la valutazione complessiva della situazione corrente in materia di protezione dei dati personali, nei punti espressi dal GDPR.

Questo articolo è un estratto dell’articolo scritto da me e pubblicato sul blog di beanTech.

Scritto da
Ciao a tutti! Sono un grande appassionato del mondo del networking e dell'IoT. Mi piace restare aggiornato con le nuove tecnologie, sia Windows che Linux.

Dì la tua!

1 0