INTRODUZIONE NUOVO GDPR 25 MAGGIO 2018
COS’E’ IL GDPR
Il GDPR è il nuovo regolamento generale sulla protezione dei dati la cui proroga per l’entrata in vigore terminerà il giorno 25.5.2018.
Maggiori informazioni sono reperibili su: https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati
IL REGOLAMENTO
Il regolamento riguarderà tutte le aziende e non sarà facoltativo, ma ‘toccherà’ le aziende ognuna in modo diverso.
Il regolamento è molto chiaro in relazione alle responsabilità, il Titolare è e sarà sempre ritenuto responsabile di aver adottato tutte le misure adeguate per la protezione dei dati trattati dalla propria Azienda.
Sarà suo l’onere di dimostrarlo mediante il ‘nuovo’ DPS, ovvero il documento di analisi del rischio.
Per chi non si adegua entro la data prevista sono state previste sanzioni anche molto importanti.
E’ previsto, tra le altre cose, un registro per i data breach subiti (violazione informatica) e che il Titolare è obbligato ad ‘autodenunciarsi’ entro 72 ore dal fatto.
Essendo oggi la quasi totalità dei dati trattata in modalità digitale, il regolamento introduce di fatto una serie di misure di qualità e di sicurezza (che necessiteranno di nuove misure informatiche) relative alla protezione ed alla resilienza dei dati conservati all’interno dei sistemi informativi.
ATTORI
A questo processo partecipano diversi attori:
- Il cliente (Voi), ovvero la dirigenza/il titolare, da ora in poi indicato come ‘Cliente’
(Talvolta il titolare può essere sostituito dal responsabile Privacy/Quality Aziendale) - La società fornitrice di servizi IT (Trilogik o chi altri), da ora in poi indicato come ‘Consulente IT’
- La società fornitrice di servizi consulenziali Privacy/Quality, da ora in poi indicato come ‘Consulente GDPR’
Tali aziende, potrebbero (e dovrebbero) essere in grado di fornire servizi specifici GDPR:
- asset and risk analysis (analisi del rischio)
- vulnerability & penetration test (esecuzione test di vulnerabilità interni ed esterni)
- remediation plan (piani di ‘rimedio’ al fine di conseguire la conformità)
- broker assicurativi (per l’assicurazione del rischio cyber)
IL PROCESSO
Possiamo idealmente dividere il processo in 3 fasi.
FASE 1 – RACCOLTA DELLE INFORMAZIONI
ATTORI COINVOLTI
Il Cliente, il consulente IT, il consulente GDPR.
ATTIVITA’
– Il Cliente consegnerà al Consulente GDPR tutta la documentazione relativa a:
- elenco dati trattati dall’azienda e modalità del trattamento
- eventuale documentazione quality/privacy già presente
- procedure di gestione dei dati cartacee, digitali.
– Il Consulente IT consegnerà al Consulente GDPR tutta la documentazione relativa a:
- ogni misura IT applicata relativa alla salvaguardia e d alla protezione dei dati sia sui sistemi server, cloud, e client.
FASE 2 – ANALISI
ATTORI COINVOLTI
Il consulente IT, il consulente GDPR, eventuali consulenti terzi per l’esecuzione delle attività di test delle vulnerabilità.
ATTIVITA’
– Verranno eseguiti test di valutazione delle vulnerabilità dei sistemi sia da attacchi provenienti dall’interno che dall’esterno della rete informatica del cliente
– I dati raccolti in questa e nella fase precedente verranno analizzati e verrà presentati:
- i risultati dell’analisi con evidenza di un livello di rischio (relativo al trattamento dei dati per il Cliente),
- un piano di ‘remediation’ ovvero opzioni di rimedio per le misure giudicate non adeguate (a 360° ovvero cartacee, procedurali, legali e informatiche),
- il Cliente, con il supporto delle altre terze parti, ed in base ai risultati dell’analisi, deciderà quali misure adottare.
Un webinar e le slide relative, dedicato agli utenti finali, tenuto da Achab, uno dei principali distributori di soluzioni software in Italia, e Ns. fornitore di fiducia da oltre 10 anni.