Questo sito usa cookies, anche di terze parti. Se continui a navigare nel sito, presti il consenso all'uso dei cookies.
Se non sei d'accordo o necessiti di ulteriori informazioni, consulta la nostra Privacy Policy.

 

IN SINTESI

La nuova normativa
Il 27 aprile 2016, dopo un iter legislativo durato più di 4 anni e comprendente circa 4mila emendamenti, il Parlamento Europeo ha approvato il Regolamento generale sulla protezione dei dati (General Data Protection Regulation) che abroga la direttiva 95/46/CE e dovrà essere adottato entro il 25 maggio 2018.

Destinatari del regolamento
Sono soggetti all’applicazione del Regolamento tutti gli enti pubblici e le imprese che trattano dati classificati (sensibili, biometrici, sanitari, giudiziari, etc) e/o che raccolgono grandi quantità di dati personali.

Obiettivi
L'UE si è impegnata attivamente nella formulazione di una struttura di riferimento valida a livello europeo che sostituisca l'attuale discontinuità delle legislazioni dei singoli paesi. L’obiettivo è consolidare il diritto alla privacy dei cittadini dell'UE e fornire maggiore protezione per i dati dei clienti, esigendo l'adozione di nuovi processi e controlli per la protezione dei dati.

 

COSA ACCADE IN CASO DI VIOLAZIONE DEI DATI

Avvenuta violazione (data breach)
L’Autorità Garante adotterà una serie di provvedimenti che prevedranno l’obbligo di comunicare i casi in cui - a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi - si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o trattati.

Notifica all’Autorità Garante
Il responsabile del trattamento sarà tenuto ad avvisare l’Autorità Garante dell’avvenuta violazione dei dati senza ritardo - dove possibile entro 72 ore - dal momento della scoperta della violazione stessa. In caso di ritardo, la notifica dovrà essere corredata da una giustificazione documentata.

Notifica all’interessato
Il responsabile del trattamento sarà tenuto ad avvisare anche l’interessato dell’eventuale violazione dei suoi dati personali (data breach notification).

Sanzioni
L’eventuale sanzione dovrà essere efficace, proporzionata e dissuasiva. L’ammontare sarà fissato tenendo conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo dell’illecito. L’Autorità propone sanzioni pecuniarie fino a 20 milioni € o al 4% del fatturato globale annuo.

 

QUALI MISURE ADOTTARE

Il Regolamento non indica esplicitamente le singole misure di sicurezza da adottare ma, sulla base di quanto indicato nell’Art.32 e con particolare attenzione ai principi di riservatezza e integrità dei dati, è possibile individuare attraverso un’analisi strutturata una serie di misure tecniche che contribuiscano a limitare i rischi connessi alle possibili violazioni.

Gestione e monitoraggio degli accessi
Definizione delle policy per l’accesso alle informazioni e la data loss prevention e monitoraggio proattivo delle attività privilegiate degli amministratori IT.

Full-disk encryption
Cifratura dei dischi locali delle postazioni di lavoro fisse o mobili che contengono dati classificati o consentono l’accesso ad essi.

File encryption
Cifratura dei singoli file contenenti dati classificati a prescindere dalla loro posizione – dischi locali, share di rete, dischi rimovibili – e dal dispositivo utilizzato (desktop, smartphone, tablet).

Gestione delle informazioni in mobilità
Controllo dei dispositivi mobile – smartphone e tablet – aziendali e privati e gestione dei contenuti classificati scambiati mediante la posta aziendale o i servizi di cloud storage.

E se mi rubassero dei dati cifrati?
Se il Data Protection Officer è in grado di dimostrare che i dati sottratti erano cifrati si può evitare la notifica dell’avvenuto data breach agli interessati e, previa valutazione dell’Autorità di controllo, non si incapperà in sanzioni amministrative.

 

LA NOSTRA OFFERTA DEDICATA

Il nostro team, forte di un’esperienza in ambito IT Security maturata in oltre 15 anni di attività, ha identificato e applicato con successo una serie di soluzioni tecnologiche dei nostri partner che oltre a soddisfare i requisiti del Regolamento contribuiscono ad innalzare il livello di sicurezza del patrimonio informativo aziendale.

Balabit Gold Partner Sophos Gold Solution Partner


Siamo a vostra disposizione per:

  • approfondire i requisiti previsti dalla nuova normativa;
  • effettuare un assessment del vostro livello di compliance;
  • condividere i risultati e valutare le misure tecniche da adottare;
  • analizzare la fattibilità tecnico-economica.

 

 

PER SAPERNE DI PIÙ SCARICA IL FLYER
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.PER PRENOTARE UNA CONSULENZA