Il Regolamento Europeo 679/2016, approvato il 14 aprile 2016, disciplina il trattamento e la protezione dei dati personali dei cittadini comunitari.
Entro maggio 2018 enti e imprese dovranno adeguarsi, pena l’applicazione di sanzioni fino a 20 milioni di euro o il 4% del fatturato.
Il regolamento generale sulla protezione dei dati (GDPR) sarà definitivamente applicabile in via diretta in tutti i Paesi UE, da maggio 2018, considerato che non vi è la necessità di recepimento con atti nazionali. Secondo il GDPR per dati personali si intende “qualsiasi informazione concernente una persona fisica identificata o identificabile”. Non resta molto tempo per porre in essere gli adeguamenti richiesti alle proprie politiche per la protezione ed il trattamento dei dati personali.
E’ la tua occasione per rivedere i programmi di sicurezza utilizzati, per gestire e proteggere i dati personali in modo tale da risparmiare tempo, denaro e brutte sorprese. In particolare sono fondamentali i concetti di Privacy by design e Privacy by default e Responsabilità:
Con riferimento alle iniziative di protezione dei dati, l’articolo 25 del Regolamento introduce i concetti delle cosiddette "Privacy by design" e di "Privacy by default".
I Titolari del trattamento dovranno, pertanto, prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati - dalla raccolta alla cancellazione - incentrandosi sistematicamente sulle garanzie procedurali in merito all'esattezza, alla riservatezza, all'integrità, alla sicurezza ed alla cancellazione dei dati
Privacy by Design: l'attuazione di adeguate misure tecniche ed organizzative sia all'atto della progettazione che dell'esecuzione del trattamento
Privacy by Default: ricalca il principio di necessità di cui al vigente Codice privacy, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini
Con ciò si intende identificare il dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate:
Ai sensi dell’articolo 30 del Regolamento è necessario (per tutti) istituire un registro del trattamento dei dati.
Il motivo della disposizione è che tutte le operazioni di trattamento devono essere tracciabili e documentabili, quasi in una logica da ‘scatola nera’. Trattasi dell’applicazione operativa del principio di rendicontazione e responsabilità, secondo il quale il titolare del trattamento (ed il responsabile, se presente) deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, indicando obbligatoriamente, per ognuno di essi, una serie nutrita di informazioni tali da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni del Regolamento.
Tale documento dovrà in ultima analisi risultare di portata più ampia rispetto al Documento Programmatico sulla Sicurezza.
Sempre con riferimento alle iniziative di protezione nell’ambito della responsabilizzazione, ai sensi dell’articolo 32 del Regolamento:
1. Il titolare (ed il responsabile, se presente) mette in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
4. Il titolare (ed il responsabile, se presente) fa sì che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare.
Ai sensi dell’articolo 35 del Regolamento si impone una valutazione di impatto sin dal momento della progettazione del processo di raccolta e di trattamento dei dati. In particolare, la valutazione di impatto deve essere effettuata, prima del trattamento, con riferimento ad operazioni che comportano l’utilizzo di nuove tecnologie, che mirano al trattamento di una notevole quantità di dati e che potrebbero incidere su un vasto numero di interessati. Ancora, la valutazione di impatto deve essere fatta quando i dati sono trattati per assumere decisioni riguardanti persone fisiche, basata sulla profilazione. Inoltre, la valutazione deve essere promossa quando la raccolta è effettuata per la sorveglianza di zone accessibili al pubblico su larga scala.
La valutazione di impatto deve contenere, tra le altre considerazioni, le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
Le aziende e gli enti pubblici che trattano dati particolari/sensibili su larga scala dovranno nominare un Data Protection Officer responsabile di informare, catalogare e monitorare i dati.
Sarà rafforzato il Diritto di Accesso dei consumatori ai dati personali detenuti dalle aziende.
Le restrizioni sulla profilazione dei consumatori vieteranno l’acquisizione dei dati senza esplicito consenso.
Il Diritto all’oblio dei singoli sarà ulteriormente tutelato.
Le aziende hanno l’obbligo di segnalare entro 72 ore qualsiasi violazione dei dati personali.
In alcuni casi le aziende dovranno
notificare una possibile violazione
dei dati ai soggetti impattati.
Scopri la suite di Cyber Intuition per salvaguardare file e dati sensibili e adeguarsi alla normativa GDPR
La risposta preventiva e completa per tutelare la disponibilità e l’integrità dei propri file, evitando attacchi ransomware e l’esfiltrazione dei dati. La protezione di Data Protection, che risponde all’ultimo Pacchetto protezione dati: Regolamento 2016/679 e Direttiva 2016/680 include:
RaPToR (Ransomware Prevention Toolkit & Rescue) è la soluzione anti-ransomware che protegge i vostri dati dalle azioni derivanti da possibili infezioni da Ransomware, fornendo una nuova soluzione di sicurezza specifica multi-livello.
Tramite una console di gestione centralizzata collegata ad un sistema di comunicazione, viene monitorato in tempo reale lo stato di sicurezza delle postazioni di lavoro, favorendo all’amministratore di sistema una visione globale del livello di sicurezza oppure una vista per singola postazione di lavoro.
Lo strumento di ripristino Data Protection & Recovery (DPR) ha come obiettivo quello di salvaguardare i dati dell’utente e permetterne il recupero in automatico. Viste le caratteristiche della Suite di Data Protection di Cyber Intuition possiamo definire le stesse come la soluzione di protezione del dato compliant alla normativa GDPR.
Il vulnerability assessment valuta quanto un ambiente informatico sia vulnerabile in termini di sicurezza. Si tratta di una analisi approfondita della sicurezza delle informazioni, seguita da un report che ne indica gli elementi di debolezza, che, oltre a fornire le necessarie procedure di mitigazione appropriate, consente di eliminare quelle stesse debolezze o ridurle ad un livello accettabile di rischio.
Cyber Intuition elabora bollettini informativi sulle caratteristiche degli ultimi ransomware conosciuti, allegando analisi approfondite sul malware, il suo comportamento e gli indicatori di compromissione dettagliati. I bollettini vengono aggiornati in tempo reale con le ultime informazioni disponibili, in modo tale da poter essere sempre preparati sui nuovi attacchi.
Attraverso lo studio di molteplici cyber minacce e dei feedback internazionali, possiamo offrire il prodotto più efficace del settore e i migliori servizi contro i ransomware.
E’ possibile eliminare i rischi, rafforzare la risposta agli attacchi e migliorare la sicurezza informatica.
Tutto ciò che ti serve per evitare interruzioni al tuo lavoro, furti informatici e perdita dei dati.