GDPR: perché per le aziende è necessario adeguarsi

gdpr aziende adeguarsi
gdpr aziende adeguarsi

Sono passati già 3 anni dall’entrata in vigore del GDPR: ma perché per le aziende è così importante adeguarsi?

Sul Regolamento Generale sulla Protezione dei Dati n. 2016/679 esiste già una copiosa letteratura, che spiega in dettaglio i contenuti, le implicazioni giuridiche, tecniche ed organizzative nella vita di ogni azienda. Ma perché si è sentita l’esigenza di adottare questo regolamento?

La protezione dei dati personali era già infatti regolata sia a livello europeo, che nazionale, con il D. Lgs. 196/2003 noto come Codice privacy.

In questo caso il GDPR nasce da un cambio di mentalità nei confronti della riservatezza e del controllo sulle informazioni personali.

La tecnologia corre a una velocità sempre più elevata, presentando sfide e pericoli sempre nuovi. La velocità raggiunta impedisce di garantire le opportune tutele attraverso lo strumento normativo che diverrebbe superato prima ancora di entrare in vigore.

Il GDPR quindi non pone più al centro del sistema di tutela una disposizione normativa, ma concentra l’attenzione sul Titolare del trattamento. Si tratta di quel soggetto che utilizza i dati personali per determinate finalità e con modalità e mezzi scelti da lui.

È proprio il Titolare, infatti, che deve scegliere le misure di sicurezza e garantire il loro continuo adeguamento.

Il GDPR però risulta essere ancora più ambizioso. Cerca infatti di generare una maggior fiducia negli individui, invitandoli e rassicurandoli a comunicare i propri dati.

Perché adeguarsi al GDPR?

Comprese le ragioni che hanno portato alla nascita del GDPR, le imprese si chiedono perché sia necessario adeguarsi.

Le ragioni principali sono tre:

  • Il rischio di incorrere in una sanzione: (il GDPR prevede, a seconda della violazione commessa, un importo che può arrivare fino a 10 milioni di euro o fino a 20 milioni di euro) che dati gli importi potenzialmente molto elevati, può arrivare ad incidere in maniera considerevole sui bilanci.
  • Ottenere un vantaggio competitivo: l’attuale situazione globale ha determinato una maggiore dematerializzazione delle relazioni e, di conseguenza, gli utenti sono sempre più attenti a come vengono trattati i propri dati.
    Disporre di un sistema di gestione dei dati a prova GDPR consente di instaurare fiducia negli stakeholders che, a sua volta, comporterà la loro fidelizzazione e pubblicità positiva, con conseguente riduzione delle spese di marketing.
  • La responsabilità sociale connessa al trattamento dei dati personali: trattare dati comporta inevitabilmente anche una responsabilità in questo senso. Investire nella loro protezione, dalle misure tecniche alla formazione del proprio personale, aiuta a creare una consapevolezza diffusa sul valore dei dati e sulla necessità di porre in essere le dovute attenzioni sia in fase di conferimento, sia in fase di trattamento.

Perché è importante il GDPR?

Il GDPR si presenta di fatto come una legislazione di principio, anche se spesso molto dettagliata, lasciando alle persone il compito di ridurre il rischio connesso al trattamento dei dati personali.

Ciò significa che le aziende sono più libere di adattarsi ai cambiamenti della tecnologia senza dover essere legate ai tempi propri degli adeguamenti normativi, consentendo così una minor incertezza dovuta dall’attesa che le decisioni vengano prese altrove. Di certo l’adeguamento al GDPR comporta l’impiego di tempo e denaro, ma i vantaggi sono molti e duraturi.

Il GDPR permette di poter usare correttamente i dati personali nell’interesse di tutti e consente di affrontare le future sfide grazie alle nuove tecnologie, garantendo grandi vantaggi e rispettando i diritti di tutti.

Rendi Compliance la tua azienda, contattaci a info@assitech.net

GDPR e aziende, ecco perché la privacy è così importante

gdpr
gdpr

Il GDPR ha rimesso le persone al centro, restituendo il pieno controllo ai cittadini Europei sulla privacy dei propri dati personali. Ha anche rafforzato e reso più omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea.

La normativa applica in tutte le ipotesi in cui sia presente un trattamento di dati personali. Ecco perché tutte le aziende sono chiamate ad adeguarsi e rispettare il GDPR indipendentemente dalle loro dimensioni.

GDPR, la privacy in azienda

L’entrata in vigore del GDPR ha reso ancora fondamentale per le aziende salvaguardare la protezione dei dati dei loro clienti in ogni momento. è informandoli puntualmente su come vengono utilizzati e condivisi.

La filosofia cardine del nuovo GDPR è l’accountability (o responsabilizzazione) per tutte le fasi del trattamento; ciò comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.

Altri due principi introdotti dal GDPR sono:

  • privacy by design: qualunque attività e processo aziendale vanno concepiti e realizzati pensando a come garantire la riservatezza e la protezione dei dati personali, individuando a monte eventuali rischi privacy;
  • privacy by default: le aziende devono trattare i dati personali solo nella misura necessaria per le finalità previste e per il tempo strettamente necessario a questi fini.

Non esistono standard fissi e unici per qualsiasi impresa, attività o processo aziendale; la tutela dei dati personali va pensata ad hoc, considerando le specificità aziendali.

Gdpr e privacy: Cosa devono fare le aziende

Ogni azienda deve investire in tecnologia e attuazione di comportamenti idonei. Questo per avere la certezza di aver messo in sicurezza i dati, le applicazioni, i sistemi, le reti e gli utenti.

Il primo passo è quello di capire i dati personali in possesso. È necessario diventare consapevole del tipo d’informazione che detiene, raccoglie e processa, di dove conserva questi dati, chi ne ha accesso e come vengono protetti.

In seguito, si deve passare all’analisi dei rischi. Si individuano quali minacce corrono i dati che sono trattati dall’azienda, come si possono proteggere e quali pericoli corre l’interessato in caso di non adeguata protezione.

Per aziende che trattano una grande quantità di dati o per realtà che trattano dati particolari, si deve adottare il Privacy impact assessment o Valutazione Rischio d’impatto. Lo scopo è di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure sono messe in campo per ridurre al minimo i rischi.

Solo a conclusione di quest’analisi si possono determinare le responsabilità in qualità di titolare o responsabile dei dati. Inoltre si avrà un quadro sulla natura dei dati e sulla categoria degli interessati.

Professionisti come Assitech.Net possono indicare, in base al grado di rischio, quali sono le misure di sicurezza necessarie per farvi fronte ed essere in compliance con il GDPR in caso di controlli.

La figura del DPO

Le aziende di grandi dimensioni sono inoltre chiamate a nominare il DPO (Data Protection Officer). Si tratta di un soggetto incaricato di assicurare una gestione corretta dei dati personali nelle imprese. Il DPO è una sorta di garante interno alla struttura del titolare o del responsabile del trattamento. Potrà essere interno (per esempio un dipendente) o esterno (un professionista o una società di consulenza).

In realtà anche una piccola azienda dovrebbe individuare la figura che si occupi della privacy e di tutti gli adeguamenti.

Per assicurare la conformità al GDPR sono quindi imprescindibili alcuni passi. Quello che un’impresa non dovrebbe fare è cercare soluzioni improvvisate senza il supporto di una consulenza preparata. Questa sarà poi in grado di creare un piano d’azione personalizzato.

Rendi compliance la tua azienda, contattaci a info@assitech.net

Microsoft Office 365 & GDPR

Office 365

Consigliamo e installiamo la suite Office 365.

I prodotti e i servizi Microsoft sono finalmente disponibili per aiutarti a soddisfare i requisiti del GDPR. Stiamo investendo anche nello sviluppo di funzionalità aggiuntive.

Attraverso servizi cloud e soluzioni locali, ti aiuteremo a individuare e catalogare i dati personali all’interno dei tuoi sistemi, a realizzare un ambiente più sicuro e a semplificare la gestione e il monitoraggio dei dati personali, offrendoti gli strumenti e le risorse di cui hai bisogno per soddisfare i requisiti di segnalazione e valutazione del GDPR.

Microsoft ha progettato Office e Office 365 con criteri di privacy e misure di sicurezza leader di settore per proteggere tutti i tuoi dati nel cloud, incluse le categorie di dati personali specificate dal GDPR. Office e Office 365 possono supportarti lungo il percorso verso la riduzione dei rischi e la realizzazione della adeguamento al GDPR.

Un passaggio essenziale per il rispetto degli obblighi del GDPR consiste nell’individuare e controllare i dati personali in tuo possesso e la posizione in cui si trovano. Sono disponibili numerose soluzioni di Office 365 che possono aiutarti a identificare o gestire l’accesso ai dati personali:

  • La prevenzione della perdita dei dati in Office e Office 365 è in grado di identificare oltre 80 tipi di dati sensibili comuni, tra cui le informazioni finanziarie, mediche e personali. La prevenzione della perdita dei dati permette inoltre alle aziende di definire come agire in risposta all’identificazione, per proteggere le informazioni riservate e prevenirne la divulgazione accidentale.
  • La funzionalitàGovernance avanzata dei dati sfrutta le informazioni approfondite di intelligence ed elaborazione assistita per aiutarti a trovare, classificare, definire e gestire il ciclo di vita dei dati più importanti per la tua azienda, nonché a definire criteri appositi.
  • La ricerca diOffice 365 Advanced eDiscovery ti permette di trovare testo e metadati nel contenuto di tutti gli asset di Office 365, come SharePoint Online, OneDrive for Business, Skype for Business Online ed Exchange Online. Poiché usa tecnologie di machine learning, Office 365 Advanced eDiscovery può aiutarti anche a identificare i documenti correlati a un determinato argomento, ad esempio un’indagine sulla adeguamento, in modo veloce e più preciso rispetto alle tradizionali ricerche per parole chiave o alle revisioni manuali di grandi quantità di documenti.
  • Customer Lockbox per Office 365 può aiutarti a soddisfare gli obblighi di adeguamento relativi all’autorizzazione esplicita all’accesso ai dati durante le operazioni dei servizi. Quando un tecnico di servizio Microsoft ha bisogno di accedere ai tuoi dati, il controllo dell’accesso viene esteso a te in modo che tu possa garantirne l’approvazione finale. Le azioni intraprese sono registrate e rese accessibili a te, in modo che possano essere controllate.

Un altro requisito essenziale del GDPR è la protezione dei dati personali dalle minacce per la sicurezza. Le attuali funzionalità di Office 365 per la protezione dei dati e l’identificazione delle violazioni includono:

  • Advanced Threat Protection di Exchange Online Protection ti aiuta a proteggere l’e-mail da nuovi e sofisticati attacchi malware in tempo reale. Ti permette inoltre di creare criteri che aiutano gli utenti a prevenire l’accesso ad allegati o siti Web dannosi inviati tramite e-mail.
  • Threat Intelligence ti aiuta a individuare le minacce avanzate e a proteggerti in modo proattivo in Office 365. Le informazioni approfondite sulle minacce, disponibili grazie alla presenza di Microsoft a livello globale, a Intelligent Security Graphe all’input fornito dai cacciatori di minacce informatiche, ti consentono di ottenere in modo rapido ed efficace avvisi, criteri dinamici e soluzioni per la sicurezza.
  • Advanced Security Management ti permette di identificare l’utilizzo anomalo e ad alto rischio, segnalandoti le potenziali minacce. Puoi anche configurare criteri di attività per monitorare e affrontare le azioni ad alto rischio.
  • Infine, i log di controllo di Office 365 ti permettono di monitorare e rilevare le attività di utenti e amministratori tra diversi carichi di lavoro in Office 365, per individuare ed esaminare tempestivamente i problemi di sicurezza e adeguamento.