IL REGOLAMENTO IN POCHE PAROLE
LA NUOVA NORMATIVA SULLA PRIVACY
Il 27 aprile 2016 il Parlamento Europeo ha approvato il Regolamento generale sulla protezione dei dati (UE 2016/679) che abroga la direttiva 95/46/CE ed è diventato pienamente operativo il 25 maggio 2018.
DESTINATARI DEL REGOLAMENTO
Sono soggetti all’applicazione del Regolamento tutti gli enti pubblici e le imprese che trattano dati classificati (sensibili, biometrici, sanitari, giudiziari, etc) e/o che raccolgono grandi quantità di dati personali.
OBIETTIVI
L’Unione Europea si è impegnata attivamente nella formulazione di un Regolamento volto ad armonizzare le legislazioni dei singoli paesi e a consolidare il diritto alla protezione dei dati dei suoi cittadini.
COSA ACCADE IN CASO DI VIOLAZIONE DEI DATI
Avvenuta violazione (data breach)
L’Autorità Garante ha adottato una serie di provvedimenti che prevedono l’obbligo di comunicare i casi in cui – a seguito di attacchi informatici, accessi abusivi o incidenti – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o trattati.
Notifica all’Autorità Garante
Il titolare del trattamento sarà tenuto ad avvisare l’Autorità Garante dell’avvenuta violazione dei dati senza ritardo – ove possibile entro 72 ore – dal momento della scoperta della violazione stessa. In caso di ritardo, la notifica dovrà essere corredata da una giustificazione documentata.
Notifica all’interessato
Il titolare del trattamento sarà tenuto ad avvisare anche l’interessato dell’eventuale violazione dei suoi dati personali (data breach notification).
Sanzioni
L’eventuale sanzione dovrà essere efficace, proporzionata e dissuasiva e dovrà essere fissata tenendo conto della natura, della gravità e della durata della violazione, del carattere doloso o colposo dell’illecito. L’Autorità prevede sanzioni pecuniarie fino a 20Mln€ o al 4% del fatturato globale annuo.
QUALI MISURE ADOTTARE
Sulla base di quanto indicato nell’Art.32 e con particolare attenzione ai principi di riservatezza, integrità e disponibilità dei dati, è possibile identificare delle misure tecniche che contribuiscono a limitare i rischi connessi alle possibili violazioni.
Gestione dei log e monitoraggio degli accessi
Raccolta e collezionamento a norma dei log e monitoraggio proattivo delle attività privilegiate degli amministratori IT.
Database auditing ed encryption
Cifratura parziale o integrale dei database e dei relativi backup contenenti dati sensibili. Definizione delle policy di accesso e monitoraggio delle attività svolte.
Full-disk e file encryption
Cifratura dei dischi e dei file contenenti dati riservati a prescindere dalla loro posizione – dischi locali o rimovibili, share di rete, cloud storage – e dal dispositivo utilizzato.
Gestione delle informazioni in mobilità
Controllo dei dispositivi mobile – smartphone e tablet – aziendali e privati (BYOD), e gestione dei contenuti scambiati mediante la posta aziendale o i servizi di cloud storage.
E se mi rubassero dei dati cifrati?
Se il Data Protection Officer (DPO) è in grado di dimostrare che i dati sottratti erano cifrati si può evitare la notifica dell’avvenuto data breach agli interessati e, previa valutazione dell’Autorità di controllo, non si incapperà in sanzioni amministrative.
LA NOSTRA OFFERTA DEDICATA
I nostri esperti hanno selezionato e applicato con successo una serie di metodologie e soluzioni tecnologiche che consentono di innalzare il livello di sicurezza del patrimonio informativo aziendale.
Il nostro Privacy Compliance Competence Center è a tua disposizione per:
- approfondire i requisiti previsti dalla normativa;
- effettuare un assessment del livello di compliance e valutare le misure da adottare;
- sviluppare le competenze del personale mediante corsi di formazione a distanza e in aula;
- supportare l’azienda nell’applicazione delle opportune contromisure tecniche.