Il fondamentale apporto delle aziende che si occupano di Cyber Security per l’adeguamento alle richieste del GDPR.
ll 25 maggio 2018 è entrato ufficialmente in vigore il GDPR (General Data Protection Regulation) ossia il Regolamento UE 2016/679 generale dell’Unione Europea sulla protezione dei dati che si applica a tutte le informazioni elaborate in Europa.
Un regolamento, diventato pienamente esecutivo da poco più di un anno, che offre nuove garanzie per i cittadini europei, rafforza quelle già previste e amplia la gamma dei dati ad oggi tutelati, includendo quelli biometrici (l’immagine facciale), genetici e relativi alla salute che si vanno ad aggiungere a quelli personali.
Il GDPR è vincolante per tutti: chiunque sia basato in Europa, o abbia a che fare con persone e aziende che vivono in paesi europei (quindi anche le aziende americane o di altri paesi che “fanno affari” con aziende europee o hanno come target imprese e persone che stanno in Europa), deve disporre di processi e tecnologie adeguate alla protezione dei loro dati. Tecnicamente, questo significa che le aziende di tutto il mondo devono rafforzare i propri sistemi di sicurezza pensando il più possibile ai dati degli utenti e non ai sistemi aziendali.
Il GDPR ha indubbiamente acuito la sensibilità delle organizzazioni rispetto ai pericoli delle violazioni informatiche. Un data breach ha già un impatto molto grave sul business e sull’immagine della realtà che lo subisce, ma le conseguenze per le aziende oggi sono anche più pesanti: il GDPR, infatti, impone sanzioni pecuniarie pesantissime a carico delle aziende che non tutelano adeguatamente l’integrità dei dati personali di clienti e dipendenti, fino a 20 milioni di euro o fino al 4% del giro d’affari annuo.
La richiesta del consenso
Ora, per qualsiasi attività online che richiede il rilascio di informazioni personali è fondamentale chiedere il consenso al titolare dei dati, ecco perché nel periodo imminente l’entrata in vigore ufficiale del regolamento abbiamo tutti ricevuto una infinità di e-mail che avevano lo scopo di dare la possibilità di revocare l’autorizzazione al trattamento dei dati (es. per la ricezione di una newsletter) e, congiuntamente a questo, comunicare l’adeguamento al nuovo regolamento per la protezione dei dati.
Dal GDPR in poi quando un’azienda vuole accedere ai tuoi dati personali ha l’obbligo di chiedertelo con “un linguaggio semplice e chiaro” (articolo 7), oltre a spiegarti il fine dell’utilizzo dei tuoi dati (articolo 13) e per quanto saranno in suo possesso. Inoltre, i dati che ti verranno richiesti dovranno essere solo quelli necessari ai fini indicati.
I nuovi diritti
Le nuove Regole stabilite dal GDPR introducono nuovi DIRITTI, ecco i più importanti:
- DIRITTO DI ACCESSO: hai il diritto di sapere come e perché stanno trattando i tuoi dati;
- DIRITTO DI RETTIFICA: hai la possibilità di rettificare i dati personali inesatti senza che venga applicato un ritardo (ingiustificato) alla modifica;
- DIRITTO DI OBLIO: hai il diritto di far cancellare tutti i tuoi dati;
- DIRITTO ALLA PORTABILITÀ DEI DATI: puoi ricevere in forma strutturata tutte le informazioni che sono state raccolte su di te e comunicarle a un altro titolare.
Data Breach
Una delle novità del GDPR è la disciplina dei casi di violazione (la cosiddetta DATA BREACH) in cui avviene una “fuga” di dati personali dell’utente. In questo caso il titolare del trattamento dei dati avrà l’obbligo legale di rendere noto il fatto al garante per la privacy e di comunicarlo all’utente in questione (o agli utenti) non oltre le 72 ore da quando è venuto a conoscenza della “fuga” di dati. Questo limite si amplia solo se certi che questa violazione non rappresenti un rischio per i diritti e la libertà della persona e/o delle persone coinvolte.
Il GDPR, nell’articolo 4, definisce una “violazione dei dati personali” come una violazione di sicurezza che “comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. La violazione dei dati personali secondo il GDPR può essere suddivisa in tre grandi categorie:
- Confidentiality breach: divulgazione o accesso non autorizzato (o accidentale) di dati personali;
- Availability breach: impossibilità di accesso o distruzione non autorizzati o accidentali di dati personali;
- Integrity breach: modifica non autorizzata o accidentale di dati personali.
Per fornire il livello di data protection richiesto dal GDPR, le aziende devono continuamente identificare le vulnerabilità cui vanno soggetti i dati oggetto del trattamento e mettere in ordine le priorità per le attività di bonifica utili a migliorarne la protezione.
Come gestire in modo efficace le vulnerabilità e le minacce?
Con il monitoraggio continuo, l’assessment e la predisposizione delle opportune attività di remediation (bonifica), patching (rimedio) o mitigazione delle vulnerabilità, l’organizzazione è in grado di ridurre il numero di potenziali entry point a disposizione dei cyber criminali per penetrare la rete aziendale. Di conseguenza, si riduce sensibilmente anche il rischio di subire un data breach.
Le aziende che non hanno la sicurezza IT nel loro core business faticano a tenere il passo con l’evoluzione delle minacce cyber. Ecco quindi che diventa di fondamentale importanza la possibilità di rivolgersi a un provider di servizi di sicurezza gestita (Managed Security Service Provider) come Core Sistemi, che consente a qualsiasi organizzazione di avere la garanzia di affidare la protezione dei dati personali a realtà che operano con tecnologie sofisticate e personale altamente qualificato. Noi di Core Sistemi, come provider di servizi di sicurezza gestita, operiamo attraverso diverse soluzioni con un approccio sistematico che va dall’analisi del rischio, alla definizione, implementazione e gestione di infrastrutture di sicurezza tailor made.
Qui trovi tutti i servizi che Core Sistemi ha a disposizione per la sicurezza informatica della tua azienda e per aiutarti ad adeguarla alle richieste dal regolamento GDPR.