Offiramo consulenza in materia di protezione dei dati, nel rispetto della nuova normativa GDPR.

Analizziamo lo stato dell'infrastruttura, dei software e dei processi e progettiamo, proponiamo ed implementiamo le azioni (sistemistiche, software, flussi di lavoro) necessarie a rispettare la norma e garantire la protezione dei dati aziendali.

Vuoi saperne di più? Contattaci.

Cos'è la GDPR

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea, sia all’interno che all'esterno dei confini dell’Unione europea (UE).

Il GDPR uniforma il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC). Su questa stretta relazione, risulta necessario operare il trattamento dei dati in maniera tale da prevenire potenziali furti di dati sensibili non gestiti (data breach) dovuti ad inadempienze operative degli attori responsabili della gestione dei sistemi informatici, nonché problematiche dovute all'obsolescenza delle strumentazioni di carattere tecnologico che nativamente espongono i dati ad una naturale e non gestita vulnerabilità di sicurezza.

Le principali linee guida GDPR orientate alla gestione informatica dei dati possono essere sintetizzate in:

  • L' obbligo di trattare i dati secondo la progettazione “by design” (cioè analizzando il trattamento per tutto il ciclo di vita dei dati) e “by default” (cioè il partire da configurazioni chiuse dei sistemi informatici, per poi gradualmente ampliarle solo dopo avere valutato l'impatto di eventuali aperture, ovvero le impostazioni predefinite devono essere quella che garantiscono il maggior rispetto della privacy, affinché i dati non siano resi accessibili ad un numero indefinito di persone).
  • La nascita del Data Protection Officer (DPO), che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati personali. Il DPO (Data Protection Officer) sarà quindi un manager ma anche obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.
  • Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy.
  • L'obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio (ad esempio il monitoraggio sistematico e su larga scala).
  • L'obbligo di rispettare il data breach, la segnalazione al Garante e all'interessato di eventuali fughe o compromissioni di dati.
  • La nascita della procedura di prior consultation, cioè la presentazione di una istanza al Garante qualora il DPIA non produca risultati positivi.
  • La nascita del Registro delle attività di trattamento, sia per il Responsabile che per l'Incaricato, dove vanno conservate numerose informazioni sul trattamento (è sostanzialmente una estensione del vecchio DPS).
  • Ruolo proattivo dell'azienda. Il titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento.
  • Obbligo di analisi dei rischi, compresi quelli informatici, circa la sicurezza dei dati, nonché la messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento.
  • Parziale o totale anonimizzazione e la cifratura dei dati personali, ossia il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l'identificazione dell’utente.