GDPR, (General Data Protection Regulation)

10 feb 2018 Bassini_Stefano

Cos'è e cosa prevede il regolamento europeo sulla protezione dei dati

25 Maggio 2018, si avvicina sempre di più la data in cui entrerà in vigore il nuovo GDPR (General Data Protection Regulation - Regolamento UE n° 679/2016), ovvero il nuovo regolamento generale sulla protezione dei dati.

Le principali novità introdotte dalla normativa, riguardano il rafforzamento delle misure tecniche e organizzative per garantire la massima sicurezza dei dati, riducendo così il rischio di furto o dispersione accidentale degli stessi.

Il nuovo regolamento dell'Unione Europea in tema di protezione dei dati delle persone fisiche, con particolare riferimento al trattamento dei dati personali, in vigore dal 24 maggio 2016, avrà però piena applicazione solo a partire dal 25 maggio 2018. L'obiettivo è quello di garantire un'adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy. Si pensi per esempio alla perdita, distruzione o danno accidentale.

In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali/confidenziali) il titolare del trattamento dei dati personali deve poter dimostrare al giudice di aver preventivamente assunto tutte le precauzioni del caso.

Le misure tecniche ed organizzative adeguate al possibile rischio sono diverse. Vediamo insieme le principali:

  • Fare un backup dei dati sensibili. Equipaggiare la propria struttura con sistemi di BackUp adeguati (per esempio una NAS,Network Attached Storage) dove è possibile archiviare, oltre ai dati necessari per la normale attività lavorativa, anche i dati sensibili è fondamentale ma non basta. Iniziare con il pensare di archiviare i dati anche su Cloud (per esempio Dropbox, Google Drive, OneDrive, Saleforce, ecc.). In questo modo, anche in caso di furto o incendio in azienda, i dati saranno comunque salvati in un altro posto sicuro. In questo caso sarà indispensabile verificare che le stesse informazioni vengano adeguatamente cifrate dal provider.
  • Essere in grado di dimostrare che i dati vengono utilizzati solo per scopi precisi. I dati devono essere costantemente aggiornati e, dietro specifica richiesta, cancellati.
  • Effettuare periodicamente un'analisi interna dell'infrastruttura, ad esempio attraverso prove di intrusione e QSA (acquisizione di certificazioni).
  • Investire sulla formazione del personale, in modo che ogni dipendente sappia garantire la sicurezza dei dati personali.
  • Eseguire la crittografia dei dati, anche all'interno dei notebook aziendali, in modo che rimangano al sicuro anche in caso di furto o smarrimento del computer portatile. La cifratura dei dati è essenziale anche nel momento in cui si salvano nelle piattaforme cloud, perché altrimenti anche in questo caso potrebbero verificarsi delle violazioni.
  • Crittografare le e-mail che contengono informazioni confidenziali e i dati contenuti nei vari supporti di memorizzazione, come ad esempio chiavette USB, CD e DVD.

Violazione dei dati, cosa fare?

In caso di data breach, in base all’articolo 33 del GDPR, il titolare del trattamento è tenuto ad informare della violazione l'autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, questo nel caso vi sia scarsa probabilità che la violazione diventi un rischio per la violazione dei dati sensibili (ad esempio l’incendio). Nel caso in cui invece ci sia rischio di divulgazione dei dati, come il furto per esempio, il titolare è tenuto a comunicare lala violazione agli interessati senza alcun ritardo. L'argomento è trattato nell'articolo 34 del GDPR che è chiarissimo su questo aspetto: una mancata comunicazione del data breach è giustificata solo nei casi in cui il titolare del trattamento abbia messo in atto le adeguate misure tecniche e organizzative per proteggere i dati (come ad esempio la cifratura, che li rende illeggibili e inutilizzabili a chi non è autorizzato ad accedervi) oppure ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per la sicurezza dei dati.

Pur essendo di semplice interpretazione, applicare la nuova normativa può risultare difficoltoso. Contattaci, siamo in grado di offrirti supporto per aiutarti nel gestire al meglio il nuovo decreto.

Il testo completo della nuova normativa lo trovi a questo link:
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection_en