Seleziona una pagina

GDPR 2018 cosa fare

Acronimo di General Data Protection Regulation, (regolamento europeo privacy) entrerà in vigore a decorrere dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.

Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica.

Fra i dati personali ci sono ad esempio: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi ip del pc. In tutti gli stati membri le leggi nazionali in materia di privacy dovranno armonizzarsi con il GDPR al fine di eliminare ogni dubbio per i soggetti tutelati ed i soggetti tutelanti, essendo obiettivo comune quello di poter continuare a trattare certamente i dati personali, ma nel pieno rispetto dei diritti dei soggetti destinatari del trattamento che prestano il loro consenso.

Chi deve preoccuparsi di mettersi in regola con il GDPR?
Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono sedi e server fuori dal territorio europeo. Sono interessate dal regolamento anche le aziende che fanno business senza transazioni economiche.

Le novità del GDPR rispetto alla “vecchia” legge sulla privacy?

Quali sono i punti focali introdotti dal GDPR?
• Si passa dal concetto di “misure minime” al concetto di “misure adeguate” al trattamento dei dati personali.
• L’informativa sulla privacy deve essere scritta con un linguaggio comprensibile, deve spiegare come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
• Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
• In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
• È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
• Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.

I costi per le aziende derivanti dal GDPR

Le novità introdotte dal GDPR non lasciano dubbi sull’importanza che la privacy riveste oggi nella vita delle persone. Intrusioni informatiche, e spiacevoli fatti di cronaca che riguardano i dati delle persone, rappresentano un serio problema da affrontare con fermezza. Quando si parla di costi derivanti dall’adeguamento delle imprese italiane al regolamento europeo, bisogna dividere le spese fra burocrazia, formazione e tecnologia.

Quanto costa adeguarsi al regolamento europeo?
Porre la questione in questi termini non è certamente utile allo scopo. Non si tratta di spendere dei soldi a causa di un regolamento europeo, bensì di porre un certo riguardo alla protezione dei dati nel normale svolgimento delle attività lavorative, e sull’implementazione degli strumenti tecnologici giusti. La maggior parte dei costi nelle piccole aziende è dovuto ad un’errata scelta della tecnologia, causata da un approccio sbagliato al problema.

Quanto costa NON adeguarsi al regolamento europeo?
Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. Viene introdotto il concetto di proporzionalità della sanzione, e questo sottointende il fatto che ci saranno approfonditi controlli non solo sugli adempimenti burocratici, quanto sulle misure adeguate che l’azienda adotta per proteggere i dati personali: formazione del personale e strumenti utilizzati nel trattamento. Il costo di adeguamento è molto piccolo se visto nell’ottica di investire meglio nelle cose che già ci sono in azienda, mentre le sanzioni sono molto alte, per cui non c’è alternativa, bisogna adeguarsi e mantenere la propria azienda aggiornata.

gdpr spot ministeriale

Quali sono i rischi per i dati personali più comuni trovati nelle aziende?

Di seguito un breve elenco dei rischi per la privacy che abbiamo trovato nelle aziende visitate, rischi che necessitano di “misure adeguate” per la protezione dei dati personali, e la questione diventa anche più seria quando le aziende in questione sono talvolta: studi di commerialisti, avvocati, aziende che espletano adempimenti, ecc.. La qualità e la quantità di rischi proposti denotano come generalmente molte aziende non sono interessate alla protezione dei dati personali, sia propri che dei loro clienti.

Il problema deriva da semplice disiteresse, perchè il diritto alla privacy non viene considerato come diritto abbastanza importante da tutelare. L’usanza tipica è quella di investire velocemente per tamponare i problemi, acquistando prodotti e non soluzioni. La tecnologia informatica nella micro impresa è vista come un prodotto da banco, e come tale si differenzia solo sulla base del prezzo e per il suo utilizzo non occorre alcuna formazione.  Proprio per questo motivo i nodi vengono al pettine, e questa bitudine ora pone l’imprenditore davanti all’ennesima scelta: tamponare nel breve la scocciatura, o cambiare modo di vedere le cose?

  • Server e pc con sistemi operativi non più supportati dal produttore.
  • Accessi al sistema privi di password complesse.
  • Assenza ed errata configurazione dei firewall.
  • Antivirus non idonei oppure compromessi.
  • Presenza di malware non identificato che trafuga i dati.
  • Non curanza della privacy da parte degli utenti.
  • Mancata formazione del personale sui rischi derivanti dall’uso improprio della tecnologia.
  • Sistemi di videosorveglianza (1 su 2 non a norma).
  • Vulnerabilità di accesso all’azienda alla portata di chiunque.
  • Home working totalmente insicuro.
  • Mancanza di controllo di chi accede ai dati all’interno dell’azienda.
  • Stampanti multifunzione non idonee al trattamento dei dati personali.
  • WiFi che offre vulnerabilità note per l’accesso ai database aziendali.
  • Completa mancanza di informazioni sull’uso dei certificati di crittografia.
  • Totale vulnerabilità derivante dal quotidiano uso delle email.
  • Mancanza di procedure di verifica periodiche sulla sicurezza dei dati.
  • Mancanza di backup aziendali affidabili e consistenti.

In che modo è possibile proteggere in modo adeguato i dati personali?

• utilizzare software originale e proveniente da fonti sicure;
• effettuare regolarmente gli aggiornamenti del sistema operativo e dei software;
• dotarsi di un buon software antivirus che proponga aggiornamenti frequenti;
• utilizzare vpn cifrate per collegarsi da remoto agli applicativi aziendali;
• utilizzare il certificato https per il sito web e ed il commercio elettronico;
• cifrare i dati nei database, soprattutto se dati critici;
• pensare all’uso della pseudonimizzazione come misura alternativa;
• proteggere in modo adeguato l’accesso Wi-Fi aziendale;
• dotarsi di un efficace filtro per le minacce che arrivano via email;
• Installare un firewall perimetrale che protegga tutta l’azienda;
• dotarsi di un IPS (Intrusion prevention system);
• implementare un sistema DLP quando più dipendenti dell’azienda maneggiano dati sensibili;
• effettuare controlli periodici sull’efficienza della sicurezza informatica.

A chi rivolgersi per una consulenza e per gli adeguamenti richiesti dal regolamento?

Occorre effettuare l’analisi dei rischi?
È consigliato un documento che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.

Provideant S.r.l. a Bologna e provincia, offre una consulenza completa per mettersi in regola con il GDPR, e propone dove necessario tutte le misure idonee ad adeguare la propria situazione aziendale.

  1. Il primo step è quello dell’analisi dei rischi,
  2. il secondo step è quello dell’adeguamento degli strumenti,
  3. il terzo step è caratterizzato dalla formazione degli utenti e dalle verifiche periodiche.

Grazie alla completezza dell’offerta, i nostri clienti beneficiano di un trattamento economico dilazionato e meno oneroso rispetto al fai da te e alla diversificazione dei fornitori. Chiama oggi stesso per prenotare la tua consulenza in materia di privacy e GDPR telefonando al numero + 39 051 0826 989 della nostra sede di Bologna, oppure compilando il nostro modulo contatti.