GDPR, cosa devi sapere?

GDPR, cosa cambierà e cosa devono fare le aziende?

Il 25 maggio 2018, una nuova legge sulla privacy denominata regolamento generale sulla protezione dei dati (GDPR) entra in vigore nell’Unione europea (UE). Il GDPR descrive e amplia chiaramente i diritti alla privacy delle persone dell’UE e pone nuove responsabilità su tutte le organizzazioni che gestiscono, commercializzano o elaborano i dati personali dei cittadini dell’UE.

Ogni azienda è impegnata nel garantire la sicurezza delle informazioni e gestire le informazioni annesse. ITSolver può aiutarti per adempiere a questo nuovo e importante regolamento.

 

L’impegno di ITSolver per la protezione dei dati:

ITSolver accoglie con favore il GDPR e lo riconosce come un significativo passo avanti per la riservatezza dei dati e i diritti delle persone.

ITSolver per prima, scende in campo in termini di sicurezza e, per etica professionale, garantisce che tutti i dati delle aziende che segue con la propria consulenza, sono garantiti dalla riservatezza e vengono trattati conforme dei criteri di sicurezza anche più rigidi di quanto il regolamento preveda per l’idoneità.

ITSolver ha esaminato attentamente i requisiti e, considerando il GDPR, sta facendo attentamente miglioramenti alle configurazioni dei sistemi, dei servizi e una revisione dei contratti per garantire la conformità e la salvaguardia dei dati dei clienti.

Quali sono i 4 passaggi fondamentali del GDPR?

  • Rilevamento (dei dati posseduti e scambiati ma anche delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
  • Protezione (a più livelli dei dati, delle identità, degli utenti…)
  • Gestione (dei dati scambiati/raccolti/trattenuti)
  • Segnalazione
Principali disposizioni :
Diritti dell’interessato
Notifica di violazione dei dati
Gestione sicura e trasferimento dei dati
Responsabili della protezione dei dati (DPO)
Applicabilità e pena

In poche parole, il GDPR impone una serie di standard di base per le aziende che gestiscono i dati dei cittadini dell’UE per salvaguardare meglio il trattamento e la circolazione dei dati personali dei cittadini.

Quali informazioni sono coperte dal GDPR?

GDPR copre i dati personali.

Il regolamento generale sulla protezione dei dati definisce ulteriormente quanto segue:

Dati personali : Con la definizione di dati personali si intende qualsiasi informazione che può essere utilizzata per identificare una persona in modo diretto o indiretto.

Può trattarsi di un nome, foto, indirizzi e-mail, coordinate bancarie, numeri di documenti di  identità, post su siti web di social network, informazioni mediche e persino indirizzi IP associati ad un account o un dispositivo specifico di un utente.

 

 

Notifica ai cittadini dell’UE in caso di raccolta o acquisizione di dati. La notifica deve essere fornita con un periodo ragionevole dopo aver ottenuto i dati che non superano il mese. La notifica deve includere:

Quali informazioni vengono raccolte. Chi lo sta raccogliendo.
Come viene raccolto Perché viene raccolto.
Come sarà usato. Con chi sarà condiviso.
Quale sarà l’effetto di questo sugli individui interessati. Se l’uso previsto può indurre gli individui a obiettare o lamentarsi.
Come ritirare il consenso, correggere i dati o richiedere restrizioni d’uso. L’ identità e i dettagli di contatto di SANS Data Protector Officer (SANS DPO ).

La check-list per rispettare le misure richieste:

Individuare i campi dei dati personali raccolti da cittadini UE per beneficio di legge:

  • Quali sono i dati personali che vengono raccolti
    e/o elaborati?
  • Dove vengono memorizzati o trasmessi? Per quanto
    tempo?
  • Quali sono le policy o le procedure di conservazione
    che si applicano a questi dati? Possono essere ridotte?
  • Sono sotto il vostro controllo o sotto quello di terzi
    da voi incaricati?
  • Questi dati restano sempre all’interno della UE?

Descrivere le informazioni e le procedure per il consenso messe in atto per la raccolta dei dati:

  • Agli interessati viene richiesto un consenso
    esplicito con un linguaggio chiaro per raccogliere
    ed elaborare i loro dati?
  • Il consenso viene concesso al momento della
    raccolta?
  • La comunicazione per il consenso mette in
    evidenza e fornisce informazioni di contatto per
    il titolare del trattamento dei dati, per il
    responsabile del trattamento e per il responsabile
    della protezione (ove richiesto)?
  • Descrive la finalità e la sicurezza dell’elaborazione, oltre al fondamento legale?
  • Chiarisce il lasso di tempo per cui i dati saranno
    memorizzati?
  • Segnala chi sono i destinatari o la categoria
    di destinatari dei dati?
  • Spiega chiaramente che gli interessati hanno diritto
    ad accedere ai loro dati, correggerli, richiederne
    l’eliminazione o renderli portatili e possono
    sporgere reclami presso un’Autorità di controllo?
  • Precisa l’intenzione di trasferire i dati al di fuori
    dell’UE?
  • Stabilisce se la raccolta dei dati è obbligatoria
    o opzionale e quali sono le conseguenze nel caso
    si decidesse di non fornire tali dati?
  • Ritirare il consenso è semplice come concederlo?

Descrivere la possibilità di comunicare con gli interessati.

  • Come fanno gli interessati ad accedere ai dati,
    correggerli, richiederne l’eliminazione ed estrarli
    per il trasferimento?
  • Come fanno gli interessati a ritirare il loro consenso?
  • Come fa l’organizzazione a contattare gli interessati
    per segnalare una violazione?

Stabilire se le misure per la manutenzione dei record e le policy per l’elaborazione dei dati
correnti sono adeguate.

  • Viene salvato un record con le risposte degli
    interessati riguardo al consenso?
  • Esiste un record o un registro degli eventi
    di elaborazione dei dati che riguarda i dati
    personali?
  • Questi record sono sicuri e consentono al
    personale autorizzato di eseguire query, ricerche
    o di redigere report?
  • Vengono aggiornate le policy che descrivono
    come viene eseguita l’elaborazione dei dati in
    conformità al Regolamento?
  • Se il titolare del trattamento dei dati non
    è all’interno della UE, c’è un suo rappresentante
    designato nella UE e questo fatto
    è documentato?
  • Se i servizi di elaborazione dei dati sono stati
    esternalizzati tramite contratto, l’accordo legale
    include le clausole necessarie a garantire la
    sicurezza e la gestione corretta dei dati personali,
    per assicurare la conformità al GDPR?
  • Il controllo degli accessi ai server e agli edifici
    è sufficiente per impedire a eventuali persone non
    autorizzate di accedere ai dati personali?

Stabilire se le pratiche e la tecnologia per la protezione dei dati sono adeguate per soddisfare
i requisiti GDPR.

  • Vengono prese tutte le misure tecniche e organizzative
    necessarie per garantire che i dati siano protetti da
    distruzione, perdita o alterazione illegittima
    o accidentale e memorizzazione, elaborazione,
    accesso o divulgazione non autorizzata o illegale?
    La policy di sicurezza tratta i seguenti aspetti:
    • Come proteggere i dati durante la
    memorizzazione e la trasmissione
    • Come ripristinare l’accesso ai dati quando
    un incidente ne interrompe la disponibilità
    • Come assicurare la consapevolezza situazionale
    dei rischi e consentire azioni preventive,
    correttive e mitigatrici praticamente in tempo
    reale contro le vulnerabilità o gli incidenti rilevati
    che possono costituire un rischio per i dati
    • Descrivere la procedura per la valutazione
    regolare dell’efficacia delle policy di sicurezza
  • Esiste una procedura per inviare notifiche
    di violazione entro 72 ore?
  • Esiste un record della valutazione dell’impatto sulla
    protezione dei dati che stabilisce la probabilità
    con cui le operazioni di elaborazione potrebbero
    presentare rischi specifici?
  • È stato compilato negli ultimi due anni o quando si
    sono verificati cambiamenti nei rischi specifici delle
    operazioni di elaborazione?
  • È stato nominato un responsabile della protezione
    dei dati?
Top
Scroll Up