Il GDPR e Acronis Cloud Backup
This post is also available in:
English
Che cos’e’ il regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea (UE)?
|
♦ Il GDPR è un nuovo regolamento UE che non riguarda solo le aziende con sede nell’Unione Europea! |
♦ Il GDPR riguarda i dati personali e in generale prevede norme più severe di gran parte delle altre leggi a tutela della privacy |
|
♦ Il GDPR riguarda tutte le aziende che: ◊ Abbiano dipendenti nell’UE ◊ Offrano beni o servizi a cittadini dell’UE ◊ Monitorino il comportamento di cittadini dell’UE (ad es. pubblicità mirata) |
♦ Il rispetto del GDPR non comporta solo la formulazione e l’attuazione di politiche e processi, ma anche un impegno permanente per tutelare la privacy |
Il GDPR è urgente e imminente
|
ENTRA IN VIGORE IL 25 MAGGIO 2018! |
SANZIONI AMMINISTRATIVE:10.000.000 di € o il 2% del fatturato mondiale totale annuo, se superiore Esempi: mancata tenuta di un registro scritto delle attività di trattamento; mancata adozione di misure tecniche/organizzative proporzionate al rischio o mancata nomina di un responsabile della protezione dei dati ove richiesto 20.000.000 di € o il 4% del fatturato mondiale totale annuo, se superiore Esempi: mancato rispetto dei requisiti per il trasferimento transfrontaliero dei dati, delle limitazioni speciali relative ai dati sensibili (minori, stato di salute, ecc.) o dei diritti dei singoli di controllare i loro dati personali |
Concetti base del GDPR
Interessato (utente)Chiunque sia identificabile (direttamente o indirettamente) in base ai suoi dati personalinell’UE. |
Titolare del trattamento“La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.” |
Responsabile del trattamento“La persona fisica o giuridica,l’autorità pubblica, il servizio o altroorganismo che tratta dati personali per conto del titolare del trattamento.” |
Dato personale“Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” Si considerano dati personali: nome, indirizzo e-mail, informazioni sullo stato di salute, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale, ecc. |
Trattamento dei dati“Qualsiasi operazione o insieme di operazioni compiute su dati personali.” Sono considerate trattamento tutte le attività di raccolta, conservazione, archiviazione, riproduzione, uso, accesso, trasferimento, modifica, estrazione, comunicazione, cancellazione o distruzione dei dati. |
Che cosa significa conformita’ al GDPR?
Il GDPR è un impegno permanente!
Come dimostrare la conformità al GDPR:
-
♦ Trattare i dati secondo i principi del GDPR: in modo lecito, corretto, sicuro, limitato alle finalità, ecc.
-
♦ Eseguire valutazioni periodiche del rischio per la sicurezza
-
♦ Monitorare il trattamento dei dati per rilevare le violazioni
-
♦ Mantenere aggiornate le politiche e le procedure aziendali
-
♦ Adottare misure tecniche e organizzative adeguateper attenuare i rischi ai dati personali
Obblighi del titolare e del responsabile del trattamento
|
Titolari e responsabili del trattamento sono soggetti al GDPR e, ai sensi del regolamento, hanno i seguenti obblighi: • Garantire la sicurezza del trattamento • Trasferire i dati all’estero in modo lecito |
|
Il titolare del trattamento è tenuto a stipulare un contratto dettagliato per il trattamento con ogni responsabile del trattamento. Il contratto deve prevedere che il responsabile del trattamento agisca solo secondo le istruzioni del titolare e rispetti le disposizioni del GDPR (oltre ad altri obblighi). |
Esempio: il ruolo del service provider (Secure Online Desktop)
Un soggetto residente nell’UE (interessato) ottiene un prestito dalla banca del suo paese. La banca raccoglie i dati personali dell’interessato e determina le finalità e le modalità per il loro trattamento.
La banca è il titolare del trattamento. La banca acquista dei servizi di backup su cloud da un provider di servizi gestiti (MSP) che esegue i backup per conto della banca. L’MSP usa i dati personali esclusivamente per le finalità indicate dalla banca. L’MSP è il responsabile del trattamento.
Sicurezza del trattamento
È necessario adottare controlli di sicurezza per garantire in modo permanente la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi per proteggere i dati personali da:
♦ Minacce esterne (ad es. pirati informatici).
♦ Minacce interne (ad es. dipendenti non adeguatamente formati).
♦ Elaborazione non autorizzata o illecita.
♦ Perdita, distruzione o danneggiamento accidentale.
I dati personali devono essere trattati secondo i principi del GDPR (Art. 5): sicurezza, liceità, trasparenza, limitazione delle finalità, esattezza, minimizzazione dei dati, integrità e riservatezza. I sistemi per il trattamento dei dati personali devono attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita e prevedere garanzie quali la crittografia e la pseudonimizzazione.
Deve essere messo in atto un processo per valutare periodicamente l’efficacia delle misure tecniche e organizzative che garantiscono la sicurezza del trattamento su base permanente.
Diritto dell’interessato/dell’utente
Il GDPR conferisce ai cittadini UE nuovi e più ampi diritti sui loro dati personali:
♦ Accesso ai dati personali (descrizione delle finalità del trattamento, informazioni sul titolare/responsabile del trattamento, periodo di conservazione, registri delle attività, ecc.).
♦ Rettifica dei dati personali: correzione di errori e aggiornamento.
♦ Limitazione del trattamento / Opposizione al trattamento in attesa di una verifica.
♦ Cancellazione dei dati personali (nota anche come “diritto all’oblio”).
♦ Portabilità dei dati: possibilità di esportare i dati personali in formato leggibile da dispositivo automatico.
♦ Trasparenza: possibilità di sapere quali dati personali vengono raccolti, conservati e trattati, nonché di conoscere modalità e luogo del trattamento e della conservazione.
Gli utenti possono esercitare i loro diritti tramite un titolare, un responsabile del trattamento oppure, ove disponibile, un meccanismo automatizzato. È necessario ottemperare alla richiesta entro 30 giorni.
Diritti dell’interessato / dell’utente I diritti degli interessati non sono assoluti! Ad esempio, il diritto alla cancellazione è valido solo se:
♦ i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti (e non sussistono nuove finalità lecite);
♦ il fondamento giuridico per il trattamento è il consenso dell’interessato, l’interessato revoca il consenso e non sussiste altro fondamento giuridico;
♦ l’interessato esercita il diritto all’opposizione, e il titolare non ha alcun motivo legittimo prevalente per continuare nel trattamento; • i dati personali sono stati trattati illecitamente; oppure
♦ la cancellazione dei dati personali è necessaria per adempiere a un obbligo legale previsto dal diritto dell’Unione o dello Stato membro.
Politica di notifica delle violazioni dei dati
Tutti i titolari del trattamento sono tenuti a informare l’autorità di controllo competente in caso di violazione dei dati personali entro 72 ore dal momento in cui abbiano avuto ragionevole certezza che la disponibilità, la riservatezza o l’integrità dei dati personali del cittadino EU sia stata compromessa. Se è probabile che la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve informare anche i soggetti interessati. Politica di notifica delle violazioni dei dati I titolari del trattamento devono controllare che gli eventuali responsabili e subincaricati del trattamento abbiano a loro volta messo in atto adeguate politiche per la notifica delle violazioni dei dati. Il responsabile del trattamento deve informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.
Trasferimento transfrontaliero dei dati
♦ Il trasferimento di dati personali di cittadini EU/SEE a destinatari al di fuori dell’UE/SEE è in genere vietato a meno che:
◊ la giurisdizione in cui si trova il destinatario sia ritenuta in grado di offrire un livello adeguato di protezione dei dati
◊ chi esporta i dati fornisca garanzie adeguate (ad es. norme vincolanti d’impresa, clausole tipo di protezione dei dati, uno strumento giuridicamente vincolante e avente efficacia esecutiva fra titolare o responsabile del trattamento nel paese terzo)
◊ valgano deroghe o esenzioni
♦ Titolari e responsabili del trattamento devono adottare meccanismi leciti di trasferimento dei dati personali che prevedano fra l’altro il consenso dell’interessato, clausole tipo, il rispetto del Privacy Shield in vigore tra UE e Stati Uniti e norme vincolanti d’impresa.
♦ I service provider che utilizzano i servizi Acronis Cloud (backup, disaster recovery, Files Cloud) possono specificare l’area geografica in cui saranno archiviati i dati dei clienti (ad es. in un data center situato nell’UE). I service provider devono sempre tenere presente che l’accesso remoto ai dati è considerato trasferimento.
In che modo Acronis Cloud Backup puo’ aiutare i service provider a rispettare quanto disposto dal GDPR
Sicurezza del trattamento
♦ Crittografia in transito (SSL/TLS) e a riposo (Acronis Storage con AES).
♦ Registri di audit per rilevare comportamenti sospetti e raccogliere registrazioni sul trattamento dei dati.
♦ Accesso basato sui ruoli per garantire la riservatezza e proteggere da trattamenti non autorizzati
♦ Dashboard con avvisi e report per migliorare controllo e monitoraggio.
♦ Regole di conservazione personalizzabili per il principio di minimizzazione dei dati.
Diritti dell’interessato / dell’utente
. ♦ Accesso ai dati, navigazione negli archivi per trovare i dati richiesti.
♦ Configurazione dei dati di profilo dell’account per facilitare la rettifica dei dati personali.
♦ Esportazione dei dati personali.
♦ Eliminazione degli archivi.
Trasferimento transfrontaliero dei dati
♦ Controllo dell’ubicazione dell’archivio dati.
♦ Data center ubicati nella UE.
Corrispondenza tra i requisiti del GDPR e Acronis Backup Cloud
| REQUISITO | FUNZIONI CHE LO SUPPORTANO |
| Protezione dei dati personali |
Crittografia in transito e a riposo Accesso basato sui ruoli e gestione degli accessi in base ai privilegi Protezione attiva contro le minacce ransomware |
| Accesso / controllo agevole dei dati personali su richiesta degli interessati |
Consultazione degli archivi Rettifica agevole dei dati personali Esportazione dei dati personali (in formato zip) Regole di conservazione personalizzabili |
| Controllo dell’ubicazione dei dati |
Controllo dell’ubicazione dell’archivio dati Data center ubicati nella UE |
| Monitoraggio / notifica delle violazioni |
Registri di audit per rilevare comportamenti sospetti e prevenire le minacce Dashboard con avvisi e report per migliorare controllo e monitoraggio |
This post is also available in:
English
Customers
Facebook FEED
Recent activity
-
What is Disaster Recovery as a Service (#DRaaS)? Disaster Recovery as a Service (DRaaS) is the replication and hosting of physical or virtual servers by a third party to provide fail over in the event of a man-made or natural catastrophe. https://www.secure-od.com/cloud-products-and-services/baas/acronis-cloud-backup/disaster-recovery-cloud/ #backup #recovery
-
Acronis Disaster Recovery Cloud protects your customers’ systems in any location and in any environment — on your clients’ premises, in remote systems, and in private and public clouds. https://www.secure-od.com/disaster-recovery-cloud/ #disasterrecovery #backup #DR
-
Disaster Recovery for Any Workload. Windows and Linux, major hypervisors, applications, virtual appliances. All-in-one backup, disaster recovery, and advanced ransomware protection https://www.secure-od.com/disaster-recovery-cloud/ #DR #ransomwareprotection #backup
-
DRaaS, we are proud to present you a new service, find out our Cloud Disaster Recovery service https://www.secure-od.com/disaster-recovery-cloud/ #DRaaS #DisasterRecovery #DisasterRecoveryasaService
-
Cybersecurity: 5 errori ricorrenti fatti dai dipendenti (e come evitarli) - http://cybersecurity.startupitalia.eu/61324-20180621-cybersecurity-5-errori-ricorrenti-fatti-dai-dipendenti-evitarli #CyberSecurity #business #ITSecurity #ActiveProtection https://www.secure-od.com/it/acronis-data-cloud-7-7-tutte-le-novita-della-versione-7-7/
Twitter FEED
Recent activity
-
SecureOnlineDesktop
RT @outpost24: The return of Spectre > https://t.co/ZCjs2X3jLr via @ZDNet #Spectre #cyberattacks #threats #vulnerability #cybersecurity
-
SecureOnlineDesktop
RT @m4r4d4g: Does the Rise of Crypto-Mining #Malware Mean the End of Ransomware?: Crypto-mining #malware activity grew significantly in the…
-
SecureOnlineDesktop
RT @Acronis: #AcronisSurvey regarding public perceptions of data threats revealed that: 46.4% do not know what #ransomware is 48.1% did no…
-
SecureOnlineDesktop
RT @datamanager_it: Shadow IT: l’indicatore chiave per l’innovazione in azienda https://t.co/XFOY5zRJGI https://t.co/k49iQY7oEW
-
SecureOnlineDesktop
Acronis Disaster Recovery Cloud protects your customers’ systems in any location and in any environment — on your c… https://t.co/7uXUn4zqt1
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Acronis Data Cloud 7.7 | Tutte le novita’ della versione 7.7 giugno 7, 2018
- Acronis Data Cloud 7.7 | Backup locale giugno 7, 2018
- Considerazioni sulla conformita’ al regolamento generale sulla protezione dei dati (GDPR) per l’infrastruttura di backup e archiviazione maggio 22, 2018
- Il GDPR e Acronis Cloud Backup maggio 4, 2018
- Nuovi strumenti per il GDPR maggio 1, 2018
Recensioni Google
Yelp
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications
