Seleziona una pagina

Privacy e GDPR: come adeguarsi

Acronimo di General Data Protection Regulation, è entrato in vigore dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.

Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica.

Fra i dati personali ci sono ad esempio: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi IP del pc. In tutti gli stati membri le leggi nazionali in materia di privacy dovranno armonizzarsi con il GDPR al fine di eliminare ogni dubbio per i soggetti tutelati ed i soggetti tutelanti, essendo obiettivo comune quello di poter continuare a trattare certamente i dati personali, ma nel pieno rispetto dei diritti dei soggetti destinatari del trattamento che prestano il loro consenso.

Chi deve preoccuparsi di mettersi in regola con il GDPR?

Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono sedi e server fuori dal territorio europeo. Sono interessate dal regolamento anche le aziende che fanno business senza transazioni economiche.

Le novità del GDPR rispetto alla “vecchia” legge sulla privacy

  • Si passa dal concetto di “misure minime” al concetto di “misure adeguate” al trattamento dei dati personali.
  • L’informativa sulla privacy deve essere scritta con un linguaggio comprensibile, deve spiegare come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
  • Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
  • In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
  • È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
  • Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.

I costi per le aziende derivanti dal GDPR

Le novità introdotte dal GDPR non lasciano dubbi sull’importanza che la privacy riveste oggi nella vita delle persone. Intrusioni informatiche e spiacevoli fatti di cronaca che riguardano i dati delle persone, rappresentano un serio problema da affrontare con fermezza. Quando si parla di costi derivanti dall’adeguamento delle imprese italiane al regolamento europeo, bisogna dividere le spese fra burocrazia, formazione e tecnologia.

Quanto costa NON adeguarsi al regolamento europeo?

Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. Viene introdotto il concetto di proporzionalità della sanzione, e questo sottointende il fatto che ci saranno approfonditi controlli non solo sugli adempimenti burocratici, quanto sulle misure adeguate che l’azienda adotta per proteggere i dati personali: formazione del personale e strumenti utilizzati nel trattamento. Il costo di adeguamento è molto piccolo se visto nell’ottica di investire meglio nelle cose che già ci sono in azienda, mentre le sanzioni sono molto alte, per cui non c’è alternativa: bisogna adeguarsi e mantenere la propria azienda aggiornata.

Ad esempio, quali sono i rischi per i dati personali più comuni trovati nelle aziende?

  • Server e pc con sistemi operativi non più supportati dal produttore
  • Accessi al sistema privi di password complesse
  • Assenza ed errata configurazione dei firewall
  • Antivirus non idonei oppure compromessi
  • Presenza di malware non identificato che trafuga i dati
  • Noncuranza della privacy da parte degli utenti
  • Mancata formazione del personale sui rischi derivanti dall’uso improprio della tecnologia
  • Sistemi di videosorveglianza (1 su 2 non a norma)
  • Vulnerabilità di accesso all’azienda alla portata di chiunque
  • Home working totalmente insicuro
  • Mancanza di controllo di chi accede ai dati all’interno dell’azienda
  • Stampanti multifunzione non idonee al trattamento dei dati personali
  • WiFi che offre vulnerabilità note per l’accesso ai database aziendali
  • Completa mancanza di informazioni sull’uso dei certificati di crittografia
  • Totale vulnerabilità derivante dal quotidiano uso delle email
  • Mancanza di procedure di verifica periodiche sulla sicurezza dei dati
  • Mancanza di backup aziendali affidabili e consistenti.

A chi rivolgersi per una consulenza e per gli adeguamenti richiesti dal regolamento?

Occorre effettuare l’analisi dei rischi?
È consigliato un documento che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.
Provideant offre una consulenza completa per mettersi in regola con il GDPR e propone dove necessario tutte le misure idonee ad adeguare la propria situazione aziendale.

  1. Il primo step è quello dell’analisi dei rischi;
  2. il secondo step è quello dell’adeguamento degli strumenti;
  3. il terzo step è caratterizzato dalla formazione degli utenti e dalle verifiche periodiche.

Grazie alla completezza dell’offerta, i nostri clienti beneficiano di un trattamento economico dilazionato e meno oneroso rispetto al fai da te e alla diversificazione dei fornitori.

Privacy e GDPR: come adeguarsi
Acronimo di General Data Protection Regulation, è entrato in vigore dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.

Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica.

Fra i dati personali ci sono ad esempio: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi IP del pc. In tutti gli stati membri le leggi nazionali in materia di privacy dovranno armonizzarsi con il GDPR al fine di eliminare ogni dubbio per i soggetti tutelati ed i soggetti tutelanti, essendo obiettivo comune quello di poter continuare a trattare certamente i dati personali, ma nel pieno rispetto dei diritti dei soggetti destinatari del trattamento che prestano il loro consenso.

Chi deve preoccuparsi di mettersi in regola con il GDPR?

Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono sedi e server fuori dal territorio europeo. Sono interessate dal regolamento anche le aziende che fanno business senza transazioni economiche.

Novità GDPR
  • Si passa dal concetto di “misure minime” al concetto di “misure adeguate” al trattamento dei dati personali.
  • L’informativa sulla privacy deve essere scritta con un linguaggio comprensibile, deve spiegare come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
  • Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
  • In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
  • È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
  • Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.
Costi per le aziende

Le novità introdotte dal GDPR non lasciano dubbi sull’importanza che la privacy riveste oggi nella vita delle persone. Intrusioni informatiche e spiacevoli fatti di cronaca che riguardano i dati delle persone, rappresentano un serio problema da affrontare con fermezza. Quando si parla di costi derivanti dall’adeguamento delle imprese italiane al regolamento europeo, bisogna dividere le spese fra burocrazia, formazione e tecnologia.

Quanto costa NON adeguarsi?

Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. Viene introdotto il concetto di proporzionalità della sanzione, e questo sottointende il fatto che ci saranno approfonditi controlli non solo sugli adempimenti burocratici, quanto sulle misure adeguate che l’azienda adotta per proteggere i dati personali: formazione del personale e strumenti utilizzati nel trattamento. Il costo di adeguamento è molto piccolo se visto nell’ottica di investire meglio nelle cose che già ci sono in azienda, mentre le sanzioni sono molto alte, per cui non c’è alternativa: bisogna adeguarsi e mantenere la propria azienda aggiornata.

Rischi per i dati personali
  • Server e pc con sistemi operativi non più supportati dal produttore
  • Accessi al sistema privi di password complesse
  • Assenza ed errata configurazione dei firewall
  • Antivirus non idonei oppure compromessi
  • Presenza di malware non identificato che trafuga i dati
  • Noncuranza della privacy da parte degli utenti
  • Mancata formazione del personale sui rischi derivanti dall’uso improprio della tecnologia
  • Sistemi di videosorveglianza (1 su 2 non a norma)
  • Vulnerabilità di accesso all’azienda alla portata di chiunque
  • Home working totalmente insicuro
  • Mancanza di controllo di chi accede ai dati all’interno dell’azienda
  • Stampanti multifunzione non idonee al trattamento dei dati personali
  • WiFi che offre vulnerabilità note per l’accesso ai database aziendali
  • Completa mancanza di informazioni sull’uso dei certificati di crittografia
  • Totale vulnerabilità derivante dal quotidiano uso delle email
  • Mancanza di procedure di verifica periodiche sulla sicurezza dei dati
  • Mancanza di backup aziendali affidabili e consistenti.

A chi rivolgersi per una consulenza e per gli adeguamenti richiesti dal regolamento?

Occorre effettuare l’analisi dei rischi?
È consigliato un documento che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.
Provideant offre una consulenza completa per mettersi in regola con il GDPR e propone dove necessario tutte le misure idonee ad adeguare la propria situazione aziendale.

  1. Il primo step è quello dell’analisi dei rischi;
  2. il secondo step è quello dell’adeguamento degli strumenti;
  3. il terzo step è caratterizzato dalla formazione degli utenti e dalle verifiche periodiche.

Grazie alla completezza dell’offerta, i nostri clienti beneficiano di un trattamento economico dilazionato e meno oneroso rispetto al fai da te e alla diversificazione dei fornitori.