GDPR - Cosa fare per adeguarsi alla normativa?

GDPR: cosa fare

 

La domanda che molti si staranno ponendo a questo punto è: cosa è necessario fare per conformarsi al regolamento GDPR? Quanto e in che misura colpisce la mia azienda? In primo luogo, va operata una distinzione tra enti pubblici e privati. I primi sono interessati al 100% per ovvi motivi (essendo “pubblici” sono tenuti ad allinearsi alle nuove norme sulla protezione dei dati). Il grado di coinvolgimento delle organizzazioni private varia a seconda della tipologia di servizio offerto. Ma attenzione: guai a pensare che le organizzazioni in cui il trattamento di informazioni sensibili ricopra un ruolo soltanto marginale siano esenti dall’adozione del regolamento. Dunque, cosa fare?

Noi di 3CiME Technology riteniamo indispensabile il ricorso ad una consulenza legale almeno in una fase preliminare, così da avere un quadro più chiaro degli adempimenti e riuscire ad avere una reale percezione del cosa fare realmente, di come muoversi. Si tratta di un passaggio non obbligatorio ma caldamente consigliato da parte nostra.
 

GDPR: cosa fare di obbligatorio

 

Sono previsti, inoltre, provvedimenti cui tutte le organizzazioni (incluso quelle private) dovrebbero obbligatoriamente conformarsi. Vediamo nello specifico cosa fare di obbligatorio.
  • Redazione DPIA (Data Protection Impact Assesment): si tratta della stesura di un documento volto a predisporre la valutazione preliminare dell'impatto sulla protezione dei dati personali (DPIA) dei trattamenti di dati che lo richiedano, in base all’art. 35 del GDPR.
  • Istituzione della figura del DPO: si tratta di una figura singola o di un team multidisiciplinare, che può anche essere individuata all’esterno dell’organizzazione del titolare e disciplinata da un contratto di servizio. Si badi però: Il responsabile è sempre il titolare.
  • Ethical Hacking: se consideriamo il ciclo di vita della sicurezza come circolare, a fronte di ogni azione/inazione, dobbiamo valutarne l’efficacia. In ragione di ciò un controllo periodico, che noi chiamiamo servizio di security plus, volto a monitorare la sicurezza esterna ed interna, e l’integrità organizzativa dell’Active Directory (stato rete, utenti, password, dominio).
  • Encryption dei dati (crittografia): Non c’è obbligatorietà ma va considerata come misura da implementare per rafforzare l’accountability, e noi la inseriamo di default  fra le cose da fare. Infatti, nel caso di violazioni di dati personali che sono stati preventivamente criptati non c’è obbligo di notifica dell’eventuale data breach al Garante; in caso contrario la notifica deve essere fatta entro 72 ore dall’avvenimento del fatto, con una sorta di autodenuncia. Non ci sembra un bel biglietto da visita… 
  • Anti Ramsomware: I ramsomware non sono virus e stanno diventando pervasivi: cosa fare per debellarli? In linea di massima, sono necessari moduli specifici per ridurre il rischio di criptazioni dei dati non volute.
  • Cancellazione sicura dei dati: 3CiME Technology offre prodotti o servizi per la soluzione definitiva del problema. Non basta più, per fortuna dell’umanità aggiungiamo noi, mettere un chiodo sugli hard disk o nastri. Dobbiamo avere in mano un certificato che dimostri, in modo opponibile a terzi, che i dati sono stati definitivamente cancellati dai nostri supporti, ed è ora che smettiamo di inquinare il pianeta con immondizia informatica. Vogliamo diventare green e donare, con la formula anglosassone della “charity”, computer e server a scuole o associazioni no profit che non hanno risorse economiche per comprarseli. E’ ora di invertire la rotta.
  • Disaster recovery: Il DR non è solo un obbligo: è necessario per il buon senso dell’attività imprenditoriale. Non soltanto i terremoti, dunque, ma anche altre sventure possono abbattersi sui nostri dati. Ma fate attenzione: Il DR e il back-up dei dati sono due cose distinte!
  • Business continuity: La continuità operativa è un sostanziale risparmio di costi: le macchine si fermano, si rompono, ma le organizzazioni devono poter lavorare con valori del 99,999%. Viceversa, la non continuità operativa comporta un rischio di perdita e danneggiamento dei dati, ed è quindi un sostanziale obbligo a nostro giudizio.
  • Cosa fare invece quando si migra qualcosa in cloud, che sia posta o altro? Conformemente alle linee guida del Garante italiano e della Commissione UE, si chiede a chi va in cloud (sia esso Amazon, Microsoft, Lepida, Google, ovvero con una società che gestisce datacenter) di avere una copia dei dati “nelle mani” del titolare, con varie finalità tra cui l’exit strategy.
 

GDPR: cosa fare di (caldamente) consigliato

 

Esistono altri aspetti la cui applicazione non è da considerarsi obbligatoria. Tuttavia possono aiutare, anche in ragione della complessità della materia: la sicurezza informatica è un ambito tanto delicato e di difficile gestione che l’adozione di certi “accorgimenti” può senz’altro agevolare. In particolare, ecco cosa fare di consigliato: 
 
  • Security management: è un servizio in outsourcing che gestisce la sicurezza a livello perimetrale, attraverso la completa gestione del firewall e delle sue features.
  • Backup e backup gestito: Il backup aziendale va semplificato e magari gestito in outsourcing: troppo spesso non lo controlliamo e speriamo che vada tutto bene. 3CiME offre questo servizio già a molti clienti.
  • Autenticazione federata: abbiamo visto orrendamente replicare il proprio Active Directory in Azure. È come dare le chiavi dei nostri dati all’esterno. Cosa fare quindi per scongiurare il pericolo? Molto più conformemente si può federare i sistemi di autenticazione aziendale con quelli esterni, siano essi Office 365-Azure che Amazon o Google.
 

GDPR: cosa fare opzionalmente
 

Vi sono altri punti meritevoli di attenzione, se non altro perché potrebbero alleggerire il già gravoso processo di gestione di un problema legato al trattamento dei dati personali. Vediamo dunque cosa fare opzionalmente.
  • Cloud: abbiamo visto contratti cloud che rasentano l’illegittimità, più che la non rispondenza al dettato del GDPR oggi, e della normativa italiana prima. Il consulente predispone e/o verifica la contrattualistica dal punto di vista “privacy” e GDPR.
  • Security monitoring: Collega la tua rete al nostro NOC perché possiamo aiutarti nel monitorare le minacce.
  • Gestione adempimenti GDPR: L’uso di un software che consente di gestire tutti gli adempimenti fondamentali del GDPR, inclusi: registro trattamenti, DPIA, data breach, gestione info e consensi, ecc. Può aiutare nel non “dimenticare qualcosa”

Informazioni più precise?

 
Lascia un tuo recapito e ti ricontattiamo noi.
3CiME Technology S.r.l.
Via di Corticella 89/2
40128 - Bologna
Trovaci su Google Maps
Telefono*: +39 0514070383
Fax: +39 0514072152
E-mail: info@3cime.com
PEC: 3cime@legalmail.it
P.IVA - C.F. IT 02817851203