Insieme al tuo team tecnico analizziamo la tua infrastruttura, sito internet compreso.

Cosa devi fare per adeguarti al GDPR

Il GDPR o General Data Protection Regulation è un regolamento europeo (679 del 2016) che si occupa di protezione dei dati.

Cos'è il GDPR? Come devi adeguare il tuo sito?
Scroll Down

Se non hai fatto nulla per la compliance GDPR, ti consigliamo di prendere del tempo per rivedere lo stato dell’arte della tua infrastruttura IT.

Ti segnaleremo cosa è migliorabile e il modo per implementare i miglioramenti individuati.

GDPR, cosa fare e come fare

Il nuovo regolamento, entrato in vigore il 24 maggio 2016, abrogherà la direttiva madre (direttiva 46 del 1995) e avrà la sua piena applicabilità a partire dal 25 maggio 2018.

Cosa importante, il GDPR coinvolge tutte le aziende che trattano dati personali di soggetti risiedenti nell’Unione Europea (indipendentemente dalla loro localizzazione geografica).

I passaggi fondamentali per adeguarsi al GDPR

Fase 1: Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso

L'azienda dovrà raccogliere tutte le informazioni che la riguardano, partendo da quelle relative a quanto posto in essere sino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte.

Fase 2: Creazione del registro dei trattamenti

Documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contenente, tra gli altri, le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza.

Fase 3: Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa

Realizzazione della documentazione e individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento.

Fase 4: Definizione delle politiche di sicurezza e valutazione dei rischi

Valutazione e attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al RGPD. Questa fase è espressione, soprattutto, del principio di responsabilizzazione del titolare (accountability).

Fase 5: Processo di Data Breach

Al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita.

Fase 6: Valutazione d’impatto sulla protezione dei dati personali

Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.

Fase 7: Individuazione e nomina di un Data Protection Officer (DPO)

Figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Ottieni gratuitamente la nostra consulenza per raggiungere la conformità

Sei pronto per il GDPR?

Visto che la scadenza per raggiungere la conformità con il GDPR si avvicina, sarà necessario sapere quanti progressi sono stati fatti per rispettare i nuovi requisiti.

Richiedi una consulenza gratuita

Diamo qualche spunto utile su come districarti senza fatica nell’ambito del nuovo regolamento

Vuoi fare chiarezza sul GDPR? Fatti queste domande e leggi le risposte.

È un regolamento europeo e quindi, a differenza delle direttive non necessita di alcuna azione di recepimento da parte del Parlamento nazionale.
Tanto per fare un esempio: nel caso il tuo server venga attaccato e tu venga derubato dei dati sensibili riguardanti tuoi clienti e questi vengano resi pubblici, qualunque giudice, a partire dal 25 maggio 2018, può condannarti, sulla base di questo regolamento europeo, a risarcire qualunque tipo di danno economico tu abbia arrecato ai tuoi clienti attraverso la “non protezione adeguata” delle informazioni che ti hanno dato. A meno che tu non dimostri di aver messo in atto alcune misure “adeguate” di protezione dei suddetti dati.
In linea di massima, solo chi non fa proprio nulla è pesantemente attaccabile.
Sulle "adeguate" ci si può difendere.
Questa volta l’Europa è convinta che quella della protezione dei dati dei suoi cittadini sia cosa vitale e quindi è stata piuttosto “cattiva” con le sanzioni: da 20 milioni di euro e - nel caso di imprese - al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Inutile dettagliare i vari casi, il succo è che l’Europa vuole far capire che qua non si scherza e con queste sanzioni lo ha sancito in modo più che chiaro.
Il titolare del trattamento dei dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (contitolari del trattamento dei dati), determina le finalità e i mezzi del trattamento di dati personali (cliente, fornitore, passante) di almeno un cittadino europeo per conto del titolare del trattamento.
Il responsabile del trattamento dei dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali (cliente, fornitore, passante) di almeno un cittadino europeo per conto del titolare del trattamento. La responsabilità del trattamento dei dati non può essere data a figure che non presentino garanzie su clienti a mettere in atto tutte le misure tecniche e organizzative adeguate a tutelare i diritti dell’interessato.
Basta che tu adempia agli obblighi del suddetto regolamento e che sia in grado in ogni momento di dimostrarlo.
Obiettivo primario, dimostrare la compliance: è il principio di accountability. Ogni scelta presa a supporto della dimostrabilità di avere adempiuto agli obblighi imposti deve essere documentata per scritto.
Il titolare e il responsabile del trattamento dei dati sono responsabili in solido (cioè con il proprio patrimonio personale) per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato (salvo che non si riesca a dimostrare che l’evento dannoso non gli è in alcun modo imputabile). Quindi non c’è SRL, SPA o SAPA che tenga. Niente autonomia patrimoniale perfetta in questo caso. Si è responsabili in solido di qualunque danno arrecato alla figura (cliente, fornitore o passante... europeo) di cui non abbiamo saputo proteggere i dati.
Attenzione, che potrebbe piovere sul bagnato. Nel caso in cui un giudice ti condanni a risarcire dei danni, possono poi scattare da parte delle amministrazioni di controllo e di conseguenza le tanto temute e terribili sanzioni suddette (20 milioni / 4% del fatturato).
a] Il trattamento dei dati deve essere corretto, lecito e trasparente.
b] I dati devono essere raccolti per scopi determinati, legittimi ed espliciti, e trattati in modo non incompatibile con tali scopi. Non è quindi possibile detenere dati se non c’è giusti cabile motivo.
c] I dati devono essere ridotti al minimo e quindi pertinenti e limitati a quanto necessario.
d] dati devono essere esatti, aggiornati e tempestivamente cancellati quando non più necessari.
e] È necessario garantire adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, dalla perdita, dal danno o dalla pubblicazione accidentale nonché da trattamenti illeciti o non autorizzati.
Il titolare del trattamento (o chi da lui delegato) deve possedere ed essere in grado di dimostrare tutte le competenze necessarie a garantire il rispetto dei principi appena elencati. Mai come in questo caso la legge non ammette ignoranza. Forse è giunto il momento di a dare i server a chi fa questo per mestiere piuttosto che tenerli in casa.
Il regolamento non fornisce una linea guida dettagliata delle misure da mettere in campo in quanto, come ben sa chi opera nel settore del trattamento - ormai elettronico - dei dati, non esiste ad oggi una ricetta perfetta capace di scongiurare attacchi esterni da parte di hacker o danni da errori accidentali.
La cosa più importante è poter dimostrare attraverso una serie di azioni che ci si è presi cura del problema nel “migliore” dei modi possibile, compatibilmente al contesto.

Contatti

Sei interessato ad uno dei nostri servizi o hai bisogno di assistenza?

Per richiedere informazioni sui nostri servizi chiamaci allo 010 098 5220 oppure invia una richiesta di contatto, ti ricontatteremo nel minor tempo possibile. Per assistenza tecnica visita la nostra nuova sezione di supporto tecnico.

Invia il tuo messaggio

Ho letto e accetto l'informativa sul trattamento dei dati personali
Attendi...
Something went wrong. Please try again.
La tua richiesta è stata inviata.

Informazioni

Dove puoi trovarci

Piazza Borgo Pila, 40/56
Corte Lambruschini - Torre A
16129 Genova

Dove scriverci

info@gmgnet.com
assistenza@gmgnet.com

Dove chiamarci

Phone: (+39) 010 098 5220