Il Regolamento 2016/679 sulla General Data Protection Regulation (GDPR), indica le linee da seguire sulla gestione e la protezione dei Dati.
Il termine per l’adeguamento è Maggio 2018. Dal 2018 in poi, le aziende dovranno utilizzare soluzioni di sicurezza all’avanguardia per proteggere i dati personali.
In caso di violazione dei dati, per le aziende sono previste multe fino al 4% dei loro ricavi annui o all’importo di 20 milioni di Euro (si applica il valore maggiore), oltre all’obbligo di informare l’autorità di vigilanza del proprio paese. Il costo medio della violazione dei dati è aumentato del 23% dal 2013. I costi maggiori si verificano nei settori: SANITARIO, FORMATIVO e FINANZIARIO, ma non solo.
Nonostante tali stringenti disposizioni, i livelli di awareness sulle sue implicazioni sono al momento molto bassi.
GDPR, art 23: Privacy by design e Privacy by Default
La General Data Protection Regulation (GDPR) riconosce espressamente il concetto di privacy by design espandendo le previsioni dell’attuale normativa (privacy by default). Si tratta di un concetto già presente negli Usa e Canada e poi adottato nel 2010 nel corso della 32ma Conferenza mondiale dei Garanti privacy.
Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.
Le aziende dovranno, quindi, valutare la natura dell’attività di trattamento contestualmente ai rischi che tali attività comportano per i diritti degli utenti, nel momento della progettazione delle politiche di trattamento. L’approccio basato sul rischio, riconoscendo che esistono diverse categorie di trattamenti e di conseguenti rischi, aiuta a capire come calibrare l’applicazione dei principi nel contesto, decidendo così quali sono le priorità, e determinando l’allocazione delle risorse in funzione della probabilità di rischio.
Nella pratica significa che gli obblighi devono essere proporzionati al rischio, e il livello di responsabilità si potrà elevare o ridurre in funzione del rischio percepito per l’attività. Questo approccio porta, quindi, a valutare maggiori attenzioni (e quindi obblighi più stringenti) per le ipotesi di trattamento dati sensibili, dati sanitari e finanziari e per i grandi insiemi di dati.
Diventa indispensabile avere dei piani di recovery che possano consentire il tempestivo ripristino della disponibilità e accessibilità ai dati; per essere in regola senza introdurre irragionevoli vincoli alle attività operative Sarce propone di agire su due principali aree di intervento.
Le aree di intervento di Sarce
Articolo 30 GDPR:
Confidentality & non repudiation: garantisci un livello di sicurezza adeguato con Kaspersky End Point Security
Nell’articolo 30 si sottolinea come il Data Controller e il Data Processor prenderanno misure atte ad assicurare un livello di sicurezza aziendale proporzionale ai rischi rappresentati dal trattamento dei dati.
Vengono infatti imposti i concetti di pseudonimizzazione e cifratura dei dati personali per impedire l’identificazione dell’utente. Garantire una sicurezza totale per gli endpoint e proteggerli da un numero sempre crescente di minacce Web based diventa pertanto fondamentale alla luce del GDPR.
Sarce offre pluripremiate tecnologie di protezione dalle minacce sfruttando metodologie di difesa multilivello: dalla scansione delle vulnerabilità alla gestione delle patch, sino alla crittografia dei dati per proteggere informazioni riservate in caso di smarrimento di un laptop o tentativo di furto.
Articolo 23 GDPR e articolo 30 GDPR
Avaiability e Security of processing: i sistemi che processano dati personali devono essere sicuri, robusti e disponibili nel tempo; scegli le soluzioni Backups & Disaster Recovery di Sarce
L’integrità dei dati deve essere parte integrante della progettazione o dell’acquisto di procedure ed applicazioni informatiche. L’articolo 23 del GDPR sancisce che “Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati”.
Le soluzioni Sarce garantiscono l’ottemperanza a tutte le misure da intraprendere, in funzione di un bilanciamento fra costi e misure tecniche e organizzative.
Alta affidabilità: gli strumenti Sarce consentono a un sistema di resistere a situazioni locali di guasto e consentono la continuità nell’erogazione del servizio. Questo risultato si ottiene con accorgimenti tesi a ridurre le conseguenze della perdita, ad esempio, di un singolo componente di un Server (disco, alimentatore, scheda di rete), di un Server completo, di un apparato di rete, di un intero locale CED.
Disaster Recovery: Sarce garantisce la ripartenza dei servizi informatici dell’azienda in seguito all’accadere di qualsiasi “disaster”. Tra la situazione estrema e quella di regolare erogazione dei servizi ci sono molti stadi intermedi, che Sarce definisce e valuta a priori in modo da non lasciare incertezze o tempi morti nel far fronte ai casi di emergenza.
Business Continuity: i servizi ad elevato valore aggiunto Sarce garantiscono la capacità di ripristinare il sistema informativo aziendale. Elemento ormai vitale per la sopravvivenza di qualsiasi azienda.
Il 6/06/2017 affronteremo tutto questo in un webinar gratuito in collaborazione con Net App. Iscriviti subito per restare al passo con i nuovi regolamenti.