Tag Archives: Privacy

Infoaziende   →  Privato: News2   →  Privacy

GDRP: difficoltà e benefici legati al nuovo regolamento

Categories News

Un’altissima percentuale delle aziende del nostro Paese non è ancora pronta a soddisfare pienamente i requisiti del GDPR. Si tratta di un tema da approfondire sia dal punto di vista normativo, che in termini di complessità e opportunità. L’entrata in vigore del nuovo regolamento comporterà, infatti, diversi benefici: in primis, come è ovvio, parliamo della trasparenza, del maggiore controllo sui dati e su come questi vengano processati e conservati e, conseguentemente, in termini di trasparenza. I consumatori potranno vantare un diritto privacy più esteso e potranno ottenere una copia di tutti i dati personali che un’azienda detiene, e ancora, richiedere che siano corretti o eliminati. L’azienda dovrà rispettare la compliance del GDPR in maniera continuativa, fattore fondamentale per evitare sanzioni ma anche impatti negativi sui ricavi e nel numero dei clienti.

Il GDPR prevede, quindi, una serie di attenzioni e passaggi e non esiste una chiave “univoca” per adeguarsi. Vi sono, però, alcuni passi che le aziende possono attuare per evitare di incorrere in grossi rischi:

-da un lato occorre svolgere un’approfondita analisi su quali siano i dati personali e/o sensibili più importanti, dove e come vengano memorizzati e quali siano le maggiori aree di rischio, con ovvie attenzioni rispetto alle autorizzazioni e al consenso da parte della persona interessata;

-implementare strumenti di risposta e tutela in caso di incidenti di sicurezza;

-avere ben definiti i ruoli e le responsabilità del team, capaci di cooperare tra loro;

-adottare misure dimostrabili e comportamenti proattivi, che rispecchino i criteri dell’ “accountability”, ossia la responsabilizzazione di titolari e responsabili.

I passaggi previsti dal GDPR e utili alla tutela dei dati in sicurezza sono molteplici. Vi proponiamo, pertanto, una consulenza informatica capace di trovare le soluzioni più idonee e congrue all’attività e all’esigenza del cliente.

GDPR, aziende e attacchi informatici: pericoli e suggerimenti su un problema evidente

Categories News

Dirigenti e aziende, preparazione rispetto al crimine informatico: parliamo di un rapporto ancora troppo sbilanciato. La capacità del nostro Paese di affrontare, in termini di conoscenza, le minacce informatiche, come virus, furto dei dati e conseguenti disservizi, è ancora troppo bassa o, semplicemente, non si presta la dovuta attenzione.
La situazione, però, dovrà necessariamente modificarsi in previsione delle nuove regole europee per la protezione dei dati (GDPR), che entreranno in vigore nel 2018.
L’anno 2016 ha visto una grandissima percentuale delle aziende italiane vittima di un attacco di notevoli dimensioni, cosa che, per molti, si è ripetuta più volte.
Nel corso dello scorso anno, è stato il ransomware a farla da padrone, tanto che ha compromesso fortemente i servizi e la stessa reputazione delle aziende colpite. Le attività quotidiane delle aziende sono state bloccate anche dal phishing, seconda minaccia per frequenza, e ancora altri malware, virus e casi di spionaggio informatico.Quest’ultimo, secondo una ricerca effettuata da Trend Micro, è visto come il peggior rischio per l’anno in corso, assieme ad attacchi maggiormente mirati, proprio perché i dirigenti e le imprese sono consapevoli della capacità degli hacker di perfezionare tecniche e strumenti.
Si fa predominante l’esigenza di una protezione, che spesso, secondo quanto raccolto da differenti indagini, viene ostacolata da una mancanza di una profonda comprensione dei nuovi pericoli e rischi, da infrastrutture tecnologiche obsolete e, di conseguenza, più facilmente attaccabili e una mancanza di innovazioni e proposte nell’ambito della cybersecurity da parte dei fornitori.
Sicurezza e prevenzione vanno, quindi, a braccetto con un fornitore d’eccellenza di cui fidarsi. Vi ricordiamo che i nostri esperti e consulenti informatici sono a disposizione per illustrare la soluzione più idonea e verticalizzata su specifiche esigenze e necessità.

“La GDPR richiede una rivoluzione aziendale”: le dichiarazioni di Loredana Rossiello, consulente privacy e sicurezza dati

Categories News

La nuova General Data Protection Regulation riguarda tutte le aziende e i professionisti, a prescindere dall’attività svolta o dai numeri della realtà interessata. Concerne, infatti, l’utilizzo dei dati e chiunque abbia un’attività ha a che fare con gli stessi. Il vero passaggio da compiere, in previsione del 25 maggio 2018, data in cui la normativa entrerà in vigore, è cogliere l’importanza di abbandonare le precedenti, ed errate, abitudini per un approcciarsi ad un vero e proprio cambiamento”. Con queste parole Loredana Rossiello, Data Protection Officer e Consulente Privacy e Sicurezza Dati, sottolinea quanto la GDPR rappresenti una vera “rivoluzione”. “Si tratta di una riforma molto attesa, nata dopo quattro anni di travaglio. Parliamo di un regolamento europeo che, proprio per questo, unifica le leggi nazionali, sotto un’unica rigorosa veste. Pubblicata nel maggio 2016, non vedrà alcun tipo di proroga e non bisogna compiere l’errore di pensare che per un completo adeguamento ci sia ancora molto tempo. Anzi, bisogna considerare” – specifica la Dott.ssa Rossiello – “tutti i passaggi preventivi per mettersi in regola secondo quanto stabilito. Senza alcuna esagerazione si può affermare che la GDPR richieda una ristrutturazione aziendale”.

Ma quali sono gli obblighi richiesti e quali le novità per aziende e professionisti? Abbiamo chiesto a Loredana di elencarci alcuni esempi per una maggiore consapevolezza in merito alla portata innovativa e agli impegni previsti dalla legge.

Tanti gli aspetti che cambiano, tra questi possiamo menzionare le informative sulla privacy. La GDPR dice no ai documenti lunghi, preferendo una versione più concisa, ma anche più precisa, chiara, intellegibile e inequivocabile. Per ovviare al problema lingua e, conseguentemente alla comprensione del testo, si sta pensando ad una modalità di “scrittura” dell’informativa che utilizzi delle icone, dei simboli facilmente riconoscibili da tutti”.

Non solo, le modifiche dovranno riguardare gli stessi sistemi informatici e i software gestionali in uso nelle aziende o negli studi: per essere a norma dovranno richiedere e gestire il minor numero di informazioni e i dati dovranno essere crittografati.

Il regolamento pone, inoltre, l’accento sulla “accountability”, ossia la responsabilizzazione di titolari e responsabili sull’adozione di comportamenti proattivi e tali da dimostrare la concreta applicazione. Non basta, quindi, adeguarsi agli obblighi previsti, ma occorre dimostrarlo attraverso una serie di “prove” che testimoniano il corretto comportamento dell‘azienda/studio/ente o professionista. Tra questi, solo per fare un esempio, vi è la certificazione in ambito privacy che, pur non rappresentando un obbligo, risulta utile a dare visione delle misure precauzionali seguite.

Il data breach, invece, rappresenta l’obbligo per tutti i titolari di notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”.  Segnalare la perdita, il danno o il furto dei dati non è sufficiente: occorrono ulteriori dettagli relativi alle attività svolte in precedenza per la tutela dei dati e alla successive alla perdita per il recupero degli stessi.

La GDPR vede anche nuovi diritti, tra cui – ci spiega la Dott.ssa Rossiello – il “diritto alla portabilità. Previsto dall’articolo 20 del regolamento, consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Per fare un esempio legato alla quotidianità, basti pensare ai numeri di telefono e i dati associati, nel momento in cui di decide di cambiare operatore.

Non può, infine, mancare un riferimento al DPO, Data Protection Officer, ossia il Responsabile della protezione dei dati, nuova figura nominata dal Titolare del Trattamento e dal Responsabile del Trattamento dei Dati. La fondamentale attività del DPO dovrà essere svolta in piena autonomia e indipendenza, libera da conflitti di interesse, in particolare nell’ esecuzione dei suoi compiti di controllo e vigilanza.
Queste sono solo alcune delle tante modifiche e novità previste dal regolamento in vigore il prossimo anno. Conviene però tenere a mente, come suggerito da Loredana, che “la legge sulla Privacy non è la legge del “no”, ma del “come”. “Non va vista come una negazione ma come una spiegazione di cosa è possibile fare e in quali, corrette, modalità”.

Gdpr, cosa prevede la nuova normativa?

Categories News

Un cambiamento radicale nella gestione dei dati personali all’interno dell’organizzazione. È questa la diretta conseguenza prevista dalla Gdpr, General Data Protection Regulation, normativa con cui l’Unione Europea intende rafforzare e unificare la protezione dei dati personali entro i propri confini. La finalità di tale normativa è prevenire la perdita dei dati e impedirne la condivisione non autorizzata. Ne derivano, ovviamente, modifiche dei sistemi di gestione per le aziende e aspetti da tenere in considerazione, mettendo in atto una serie di precauzioni e obblighi normativi.

Le disposizioni, che entreranno in vigore il 25 maggio 2018, devono essere rispettate sia dalle aziende con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori della UE, elaborano dati dei cittadini di uno Stato membro.

  • La normativa prevede l’ingresso di una nuova figura, il DPO (Data Protection Officer)
  • Gli utenti dovranno essere informati dei loro diritti appena definiti e le società devono assicurarsi che gli stessi siano in grado di esercitarli. Le informazioni raccolte sono, quindi, semplicemente “in prestito”
  • Dovranno essere raccolte solo le informazioni minime richieste per utilizzare un servizio. Le imprese dovranno rivedere le loro pratiche di raccolta dati per adeguarsi
  • Correrà l’obbligo per le aziende di rivedere le pratiche e denunciare eventuali violazioni di dati

L’impatto delle policy relative alla tutela dei dati personali dovranno essere proporzionate alla tipologia di trattamento. Sarà, quindi, particolarmente elevata l’attenzione da parte di quei soggetti che hanno rapporti con i consumatori finali, che trattano informazioni di natura sanitaria o servizi di marketing e consulenza.
Ne consegue l’importanza e la necessità di rivolgersi, nel caso si opti per l’esternalizzazione di un servizio di trattamento dati, ad un fornitore in grado di assicurare misure tecniche e organizzative in linea con quanto imposto dal Gdpr.

Se è vero che, da un lato, le nuove policy relative alla conformità sulla privacy possono apparire pressanti per le aziende, d’altro canto, è altrettanto opportuno considerare come una corretta protezione e gestione dei dati si traduca successivamente in un beneficio e in un rapporto di fiducia tra azienda e utenti.

Per essere conformi alle nuove normative UE prima di tutto è necessario sapere dove sono riposti i propri dati, vanno poi rivalutate le policy di sicurezza e proposto un provider che possa offrire la crittografia dei dati in cloud, la sicurezza delle reti, anti-malware avanzato, IDS/IPS virtual patching e data loss prevention.

Il portfolio di proposte InfoAziende, in collaborazione con Fastweb, include soluzioni che consentono alle aziende di scegliere la strategia più adatta e farsi trovare pronte, con prodotti specifici per ambienti cloud, reti, end-point e molto altro. Contattaci all’indirizzo commerciale@infoaziende.net per saperne di più.

Ciao, come posso esserti di aiuto?