Backup

Le aziende e gli enti pubblici con sede nell’Unione Europea (UE) hanno ormai sentito certamente parlare del nuovo regolamento generale UE sulla protezione dei dati (GDPR), una serie di norme in materia di privacy che entrera’ in vigore il 25 maggio 2018. Ciò che forse non è immediatamente evidente per chi ha la sede al di fuori della UE è che questo nuovo regime normativo si applica a tutte le aziende globali che hanno relazioni commerciali con la UE e con i clienti UE online.

Se hai clienti o partner che operano all’interno dei confini della UE, è bene che inizi subito ad informarti sul GDPR e ad adottare in fretta provvedimenti che consentano alla tua azienda di garantire la conformita’ al regolamento, o viceversa prepararti a sostenere pesanti sanzioni pecuniarie che potrebbero avere un impatto negativo sulla capacita’ della tua azienda di svolgere la sua attività nella UE in modo redditizio.

Immagina di essere multato con una sanzione pecuniaria di 10 milioni di euro o del 2% del tuo fatturato globale annuo, a seconda di quale sia il maggiore, per la mancata conformità al GDPR.

L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di cio’ che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altresì onorare il loro “diritto all’oblio”, inteso come il diritto ad avere i propri dati personali eliminati dall’azienda che li detiene, su richiesta.

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformita’ continua al GDPR, nominando una persona responsabile delle questioni GDPR per l’azienda (il cosiddetto “responsabile della protezione dei dati”), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all’interno dei confini fisici della UE. Quest’ultima prescrizione rispecchia la preoccupazione della UE per il fatto che gli altri paesi al di fuori della UE possano non disporre di standard altrettanto elevati per la privacy dei dati dei cittadini e che i dati archiviati al di fuori della UE siano maggiormente a rischio di vigilanza da parte di agenzie governative di spionaggio e criminali.

 

Comprensione del GDPR attraverso la lente della Sarbanes-Oxley (SOX)

Per i professionisti IT di una certa generazione, le sfide presentate dalla conformità al GDPR potrebbero riportare alla memoria la Sarbanes-Oxley Act (SOX) degli Stati Uniti dei primi anni 2000. Come il GDPR, la SOX era un nuovo rigido regime normativo imposto sulle aziende di ogni tipo e dimensione. Benché fosse stato imposto unilateralmente dagli Stati Uniti per le aziende attive all’interno dei confini federali, riguardava un mercato talmente esteso che anche le aziende di tutto il mondo ne sono state interessate. Come ha fatto la UE con il GDPR, gli Stati Uniti avevano ideato una tabella di marcia aggressiva per la conformità e ne hanno assicurato l’applicazione con consistenti sanzioni pecuniarie. E proprio come sta succedendo per il GDPR, la SOX ha generato molta confusione e ansia tra le aziende sotto la sua lente d’ingrandimento, specie per quanto riguarda i costi della conformità.

Per altri versi invece, i professionisti IT nel 2017 e 2018 hanno vita assai più facile rispetto ai loro omologhi degli inizi del XXI secolo. Ad esempio, oggi le aziende hanno a disposizione una tecnologia più efficace per supportare i requisiti di segnalazione e per dimostrare alle autorità di avere messo in atto le politiche, i controlli e le procedure richiesti a supporto della conformità GDPR. I quadri di controllo di governance, gestione del rischio e conformità si sono sensibilmente evoluti negli ultimi 10 anni, come pure la disciplina della gestione del ciclo di vita delle politiche. Grazie, in parte, a normative come la SOX e la Direttiva UE 1995 sulla protezione dei dati, le aziende hanno una maggiore padronanza della valutazione dell’impatto sulla privacy e della governance dell’accesso ai dati. Oggi sono disponibili strumenti sensibilmente migliorati e maggiormente automatizzati per il monitoraggio, la segnalazione e la mitigazione della violazione dei dati.

Ma anche il mondo ha subito un’evoluzione dai tempi della SOX e in modi che complicano la conformità GDPR L’archiviazione dei dati ha subito un’accelerazione straordinaria in termini di velocità, volume, diversità dei media (compreso lo storage cloud) e complessità.

L’universo delle minacce alla sicurezza IT dei dati da parte di criminali e aggressori istituzionali è a sua volta diventato infinitamente più sofisticato e minaccioso.

Le implicazioni della conformità GDPR interessano la valutazione dell’impatto sulla privacy, la governance dell’accesso ai dati e le notifiche e la risoluzione delle violazioni dei dati, tutti argomenti che non verranno trattati in questa sede. Questo documento si concentra invece alla conformità GDPR intesa specificamente nel suo legame con lo storage sicuro e con la protezione dei dati attivi, comprese archiviazione ed eliminazione dei dati.

 

Terminologia generale del GDPR

Per comprendere in che modo il GDPR si lega all’archiviazione e alla protezione dei dati, è utile assimilare la seguente terminologia di base:

  • ♦ Soggetto interessato Un cittadino della UE identificabile tramite i propri dati personali. L’interessato può essere un consumatore che effettua un acquisto online, il paziente di un sistema sanitario, un cittadino che accede ai sevizi della pubblica amministrazione online, un utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi.
  • ♦ Titolare del trattamento Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Alcune esempi sono le aziende che riceve informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti. (Vedere di seguito per assistenza nel determinare se la propria attività si possa configurare come responsabile del trattamento o come titolare del trattamento.)
  • ♦ Responsabile del trattamento Un’attività commerciale come un fornitore di servizi cloud che si configura come contraente per un titolare del trattamento, ad esempio un’altra azienda che offre servizi ai cittadini UE e che acquisisce dati sensibili sulle persone. Gli esempi includono aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.
  • ♦ Dati personali “Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” La definizione fornita dalla UE è più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.
  • ♦ Diritto alla cancellazione Il diritto di ogni cittadino UE “di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali”. Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Su questo punto in particolare, permane una certa ambiguità. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup (cosa che può essere problematica in un supporto di backup seriale come il nastro)? Cosa succede quando una richiesta di cancellazione dei dati va in conflitto con le politiche di conservazione dei dati di un’azienda a fini di archiviazione o legali?
  • ♦ Violazione dei dati personali “La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’“autorità di controllo” entro 72 ore dal momento in cui ne sono venute a conoscenza.

 

Individuare la propria collocazione nella gerarchia GDPR

Al fine di comprendere i propri obblighi ai sensi del GDPR, occorre innanzi tutto determinare se la propria attività possa essere inquadrata come titolare del trattamento o come responsabile del trattamento, tenendo conto delle seguenti tre domande:

  1. Nella tua azienda vengono conservati o elaborati i dati personali dei cittadini UE?
  2. Nella tua azienda si decide quali elementi specifici dei dati personali debbano essere archiviati?
  3. Nella tua azienda si decide come utilizzare i dati personali che vengono archiviati sotto il tuo controllo?

Se la risposta è Sì soltanto alla domanda 1, allora la tua azienda è inquadrata come responsabile del trattamento nel quadro del GDPR. Se la risposta è Sì alle domande 1, 2 e 3, allora la tua azienda è un titolare del trattamento.

In qualità di titolare o di responsabile del trattamento che deve garantire la conformità al GDPR dell’archiviazione e della protezione dei dati personali, dovrai anche tenere conto delle seguenti domande:

  1. 1) Sapresti individuare con precisione, specificare e controllare l’ubicazione fisica dell’archiviazione degli eventuali dati personali sotto il tuo controllo? Ciò è particolarmente importante se si utilizzano o si fornisce protezione dei dati e/o storage basato su cloud, dove i dati personali hanno il potenziale per essere diffusi in più ubicazioni fisiche in data center di tutto il mondo, compreso fuori dalla UE.
  2. 2) I dati personali che vengono archiviati vengono anche strutturati? Le scelte relative al formato dei dati hanno delle implicazioni per la tua capacità di leggere, modificare ed eliminare elementi specifici dei dati personali su richiesta degli utenti. Le strutture dati che supportano ricerche rapide ed efficienti avranno un valore particolare nel supporto di queste richieste dimensionate.

 

Comprensione dei guasti della protezione della privacy

La tua capacità di asserire privacy, integrità, accessibilità e cancellazione dei dati personali si affida in parte alla tua capacità di garantire protezione e recupero dai guasti di archiviazione, backup e ripristino. Questi guasti rientrano nelle tre diverse categorie seguenti:

  • ♦ Errori dei dispositivi: il guasto fisico di qualsiasi componente hardware di storage, tra cui unità disco, storage controller e data center. Alcuni esempi sono l’esposizione accidentale di un’unità disco a un campo magnetico che ne cancella parzialmente il contenuto.
  • ♦ Guasti logici o soft: guasti dovuti a errori umani. Tra gli esempi, la cancellazione o la sovrascrittura accidentale di file nel corso dell’esecuzione di una procedura di backup la corruzione accidentale dei dati dei file a causa di un bug o da un errore in uno script o applicazione aziendale o la cancellazione accidentale del master boot record di un’unità disco.
  • ♦ Violazioni della sicurezza: guasti dovuti ad attacchi violenti e dannosi all’infrastruttura IT, tra cui reti, server, applicazioni ed endpoint, compresi quelli perpetrati da insider malintenzionati, criminali online e attori istituzionali ostili. Gli esempi includono un attacco di ransomware che applica crittografia impenetrabile ai contenuti di un’unità disco e richiede un pagamento online in cambio della chiave di decrittazione.

 

Supporto dei requisiti dei soggetti interessati per il controllo dei loro dati personali

Oltre alla protezione contro vari tipi di guasti della protezione dei dati, e alla segnalazione alle autorità della UE quando si verificano violazioni della sicurezza, i titolari del trattamento hanno una serie di obblighi nei confronti degli utenti di cui archiviano i dati personali. I titolari del trattamento devono supportare la capacità degli utenti di:

  • accedere, leggere e modificare i propri dati personali;
  • eliminare facilmente i propri dati personali, sia direttamente sia tramite una richiesta a te diretta;
  • esportare i propri dati personali in un formato facilmente leggibile.

La conformità alle richieste dell’utente non è sempre semplice. Ad esempio, è facile rispondere a richieste precise come “Elimina la mia posta in arrivo e tutto il suo contenuto” ma non è altrettanto immediato garantire la conformità a richieste più complesse o ambigue, come “Elimina tutti i miei commenti in questo forum online”.

 

Requisiti GDPR più estesi per protezione dei dati e archiviazione

Le aziende che si inquadrano come responsabili del trattamento devono adempiere anche ad altri obblighi. Tra cui:

  • Offrire sufficienti garanzie che i loro servizi soddisfino i requisiti tecnici e organizzativi del GDPR.
  • Evitare l’uso di fornitori esterni per supportare i contratti di servizio tra il responsabile del trattamento e i relativi clienti (i titolari del trattamento) senza il consenso esplicito del titolare del trattamento.
  • Alla risoluzione di un contratto di servizio, rimuovere tutti i dati dal cloud del cliente e/o dall’infrastruttura del data center e fornire una dimostrazione sufficiente che ciò è stato fatto.
  • Segnalare incidenti di violazioni dei dati all’ente normativo ove previsto dalla normativa.

La UE prende estremamente sul serio il rispetto della conformità, tanto che è pronta ad applicare sanzioni pecuniarie alle aziende che non riescono a dimostrare la propria conformità o che vengono colte in flagrante violazione delle regole del GDPR a tutela della privacy degli utenti. Ad esempio, la mancata conservazione della documentazione scritta, la mancata implementazione di diverse misure tecniche e organizzative e/o la mancata designazione di un responsabile della protezione dei dati, può costare all’azienda in violazione una sanzione di 10 milioni di euro o del 2% del fatturato globale annuo (a seconda di quale dei due è maggiore). Subire una violazione dei dati o commettere un’infrazione dei diritti del soggetto interessato, ad esempio perdere o eliminare i suoi dati senza autorizzazione, può comportare sanzioni pecuniarie anche più salate pari a 20 milioni di euro o il 4% del fatturato globale annuo (a seconda di quale dei due è maggiore).

In senso lato, per conseguire la conformità GDPR in queste aree di archiviazione e protezione dei dati (backup), responsabili e titolari del trattamento dovrebbero cercare soluzioni infrastrutturali o di servizi che soddisfino i seguenti requisiti tecnici:

  • ♦ Controllo da parte del soggetto interessato dell’ubicazione dell’archivio dati personali. Occorre essere in grado di rispettare i desideri delle persone dei cui dati ci si occupa in termini di controllo ed elaborazione rispetto a dove vengono archiviati tali dati: in sede e/o in un data center specifico ubicato nella UE.
  • ♦ Crittografia dei dati. Occorre fornire una solida crittografia dei dati personali situati sugli endpoint e a quelli in transito sulle reti LAN e WAN e sul cloud. Il processo di crittografia deve essere interamente automatizzato e il soggetto interessato deve essere l’unico titolare della chiave di decrittografia.
  • ♦ Ricerca dati all’interno dei backup. Deve poter essere possibile compiere ricerche all’interno dei backup a livello granulare, facilitando così enormemente l’individuazione delle informazioni necessarie per conto dei soggetti interessati.
  • ♦ Capacità di modificare i dati personali. Dovrebbe essere possibile copiare, modificare ed eliminare facilmente i dati personali alla richiesta dei soggetti interessati.
  • ♦ Esportazione dati in un formato comune. Dovrebbe essere possibile esportare i dati personali in un formato comune e facilmente utilizzabile (ad es. archivi ZIP).
  • ♦ Ripristino dati rapido. Occorre poter ripristinare rapidamente i dati personali dai backup in caso di guasto al dispositivo di archiviazione, di problemi software, di errore dell’operatore o di violazione della sicurezza (ad es. un attacco ransomware).

Analogamente, responsabili e titolari del trattamento devono tenere conto delle seguenti regole GDPR nella scelta dell’infrastruttura e dei servizi di archiviazione e di protezione dei dati:

  • ♦ Trasferimenti transfrontalieri di dati. Qualsiasi trasferimento al di fuori dei confini della UE deve avvenire in modo trasparente e sicuro. I fornitori di servizi devono essere in grado di specificare le ubicazioni in cui sono archiviati i dati personali alla richiesta specifica dei soggetti interessati.
  • ♦ Notifica delle violazioni. In caso di violazione dei dati, un responsabile del trattamento deve essere in grado di notificare gli eventuali rischi a tutti i titolari del trattamento e ai clienti interessati entro 72 ore.
  • ♦ Diritto di accessoBackup e archiviazione devono supportare i diritti dei soggetti interessati di ottenere informazioni dai titolari del trattamento sul fatto che i loro dati personali vengano elaborati o meno. Il titolare del trattamento deve essere in grado di fornire una copia dei dati a titolo gratuito. I file di backup devono essere continuamente disponibili per i soggetti interessati. I dati personali in un account di backup o di archiviazione devono poter essere eliminati al momento della richiesta del soggetto interessato.
  • Diritto alla cancellazione. Quando i dati personali non rivestono più la funzione originaria, i soggetti interessati devono poter richiederne la cancellazione da parte di un titolare del trattamento.
  • ♦ Portabilità dei dati. I soggetti interessati devono essere in grado di ottenere e riutilizzare i propri dati personali per le proprie finalità trasferendoli in ambienti IT diversi. Per questo occorre essere in grado di scaricare i dati personali in un formato di facile portabilità.
  • ♦ Responsabili della protezione dei dati. In ogni ente di pubblica amministrazione o grande azienda (almeno 250 dipendenti) deve essere designato un dipendente a cui viene assegnata la responsabilità definitiva della conformità GDPR, noto come responsabile della protezione dei dati.
  • ♦ Privacy by design. Titolari e responsabili del trattamento devono adottare adeguati provvedimenti tecnici e organizzativi, tra cui la pseudonimizzazione, progettati per implementare i principi di protezione dei dati.

 

Conclusioni

La scadenza del 25 maggio 2018 per la conformità GDPR è imminente e le sanzioni pecuniarie per la mancata conformità sono consistenti; tuttavia ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE può adottare oggi le misure che garantiscono di poter essere preparati. Inizia riconoscendo in che modo il GDPR rafforza e amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti, come la Direttiva UE 1995 sulla protezione dei dati. Acquisisci familiarità con la nuova terminologia creata dal GDPR per comprendere la tua collocazione in questo quadro. E comincia attaccando la sfida della conformità con metodi pertinenti alla protezione della privacy dei dati personali e ampiamente nel tuo ambito di controllo, agendo per migliorare la tua infrastruttura e i servizi di protezione dati e archiviazione e accoglierne i nuovi requisiti.

Contattaci

Link utili:

7 motivi per NON rinnovare un backup tradizionale

Il GDPR e Acronis Cloud Backup

 

 

Nuovo regolamento privacy 

Che cos’e’ il regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea (UE)?

♦ Il GDPR è un nuovo regolamento UE che non riguarda solo le aziende con sede nell’Unione Europea!

♦ Il GDPR riguarda i dati personali e in generale prevede norme più severe di gran parte delle altre leggi a tutela della privacy

♦ Il GDPR riguarda tutte le aziende che:

   ◊ Abbiano dipendenti nell’UE

   ◊ Offrano beni o servizi a cittadini dell’UE

   ◊ Monitorino il comportamento di cittadini dell’UE (ad es. pubblicità mirata)

♦ Il rispetto del GDPR non comporta solo la formulazione e l’attuazione di politiche e processi, ma anche un impegno permanente per tutelare la privacy

GDPR

 
 

Il GDPR è urgente e imminente

ENTRA IN VIGORE IL

25 MAGGIO 2018!

SANZIONI AMMINISTRATIVE:

10.000.000 di €

o il 2% del fatturato mondiale totale annuo, se superiore

Esempi: mancata tenuta di un registro scritto delle attività di trattamento; mancata adozione di misure tecniche/organizzative proporzionate al rischio o mancata nomina di un responsabile della protezione dei dati ove richiesto

20.000.000 di €

o il 4% del fatturato mondiale totale annuo, se superiore

Esempi: mancato rispetto dei requisiti per il trasferimento transfrontaliero dei dati, delle limitazioni speciali relative ai dati sensibili (minori, stato di salute, ecc.) o dei diritti dei singoli di controllare i loro dati personali

 

Concetti base del GDPR

Interessato (utente)

Chiunque sia identificabile (direttamente o indirettamente) in base ai suoi dati personalinell’UE.

Titolare del trattamento

“La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.”

Responsabile del trattamento

“La persona fisica o giuridica,l’autorità pubblica, il servizio o altroorganismo che tratta dati personali per conto del titolare del trattamento.”

Dato personale

“Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” Si considerano

dati personali: nome, indirizzo e-mail, informazioni sullo stato di salute, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale, ecc.

Trattamento dei dati

“Qualsiasi operazione o insieme di operazioni compiute su dati personali.” Sono considerate trattamento tutte le attività di raccolta, conservazione, archiviazione, riproduzione, uso, accesso, trasferimento, modifica, estrazione, comunicazione, cancellazione o distruzione dei dati.

 

 

Che cosa significa conformita’ al GDPR?

Il GDPR è un impegno permanente!

Come dimostrare la conformità al GDPR:

  • ♦ Trattare i dati secondo i principi del GDPR: in modo lecito, corretto, sicuro, limitato alle finalità, ecc.

  • ♦ Eseguire valutazioni periodiche del rischio per la sicurezza

  • ♦ Monitorare il trattamento dei dati per rilevare le violazioni

  • ♦ Mantenere aggiornate le politiche e le procedure aziendali

  • ♦ Adottare misure tecniche e organizzative adeguateper attenuare i rischi ai dati personali

 

Obblighi del titolare e del responsabile del trattamento

Titolari e responsabili del trattamento sono soggetti al GDPR e, ai sensi del regolamento, hanno i seguenti obblighi:

• Garantire la sicurezza del trattamento
• Garantire l’esercizio dei diritti dell’interessato
• Implementare una politica per le violazioni dei dati

Trasferire i dati all’estero in modo lecito

Il titolare del trattamento è tenuto a stipulare un contratto dettagliato per il trattamento con ogni responsabile del trattamento. Il contratto deve prevedere che il responsabile del trattamento agisca solo secondo le istruzioni del titolare e rispetti le disposizioni del GDPR (oltre ad altri obblighi).

 

Esempio: il ruolo del service provider (Secure Online Desktop)

Un soggetto residente nell’UE (interessato) ottiene un prestito dalla banca del suo paese. La banca raccoglie i dati personali dell’interessato e determina le finalità e le modalità per il loro trattamento.
La banca è il titolare del trattamento. La banca acquista dei servizi di backup su cloud da un provider di servizi gestiti (MSP) che esegue i backup per conto della banca. L’MSP usa i dati personali esclusivamente per le finalità indicate dalla banca. L’MSP è il responsabile del trattamento.

Responsabile del trattamento

Contattaci

Sicurezza del trattamento

È necessario adottare controlli di sicurezza per garantire in modo permanente la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi per proteggere i dati personali da:

   ♦ Minacce esterne (ad es. pirati informatici).

   ♦ Minacce interne (ad es. dipendenti non adeguatamente formati).

   ♦ Elaborazione non autorizzata o illecita.

   ♦ Perdita, distruzione o danneggiamento accidentale.

I dati personali devono essere trattati secondo i principi del GDPR (Art. 5): sicurezza, liceità, trasparenza, limitazione delle finalità, esattezza, minimizzazione dei dati, integrità e riservatezza. I sistemi per il trattamento dei dati personali devono attuare la protezione dei dati fin dalla progettazione e per impostazione predefinita e prevedere garanzie quali la crittografia e la pseudonimizzazione.

Deve essere messo in atto un processo per valutare periodicamente l’efficacia delle misure tecniche e organizzative che garantiscono la sicurezza del trattamento su base permanente.

 

Diritto dell’interessato/dell’utente

Il GDPR conferisce ai cittadini UE nuovi e più ampi diritti sui loro dati personali:

   ♦ Accesso ai dati personali (descrizione delle finalità del trattamento, informazioni sul titolare/responsabile del trattamento, periodo di conservazione, registri delle attività, ecc.).

   ♦ Rettifica dei dati personali: correzione di errori e aggiornamento.

   ♦ Limitazione del trattamento / Opposizione al trattamento in attesa di una verifica.

   ♦ Cancellazione dei dati personali (nota anche come “diritto all’oblio”).

   ♦ Portabilità dei dati: possibilità di esportare i dati personali in formato leggibile da dispositivo automatico.

   ♦ Trasparenza: possibilità di sapere quali dati personali vengono raccolti, conservati e trattati, nonché di conoscere modalità e luogo del trattamento e della conservazione.

Gli utenti possono esercitare i loro diritti tramite un titolare, un responsabile del trattamento oppure, ove disponibile, un meccanismo automatizzato. È necessario ottemperare alla richiesta entro 30 giorni.

Diritti dell’interessato / dell’utente I diritti degli interessati non sono assoluti! Ad esempio, il diritto alla cancellazione è valido solo se:

   ♦ i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti (e non sussistono nuove finalità lecite);

   ♦ il fondamento giuridico per il trattamento è il consenso dell’interessato, l’interessato revoca il consenso e non sussiste altro fondamento giuridico;       

   ♦ l’interessato esercita il diritto all’opposizione, e il titolare non ha alcun motivo legittimo prevalente per continuare nel trattamento; • i dati personali sono stati trattati illecitamente; oppure

   ♦ la cancellazione dei dati personali è necessaria per adempiere a un obbligo legale previsto dal diritto dell’Unione o dello Stato membro.

 

Politica di notifica delle violazioni dei dati

Tutti i titolari del trattamento sono tenuti a informare l’autorità di controllo competente in caso di violazione dei dati personali entro 72 ore dal momento in cui abbiano avuto ragionevole certezza che la disponibilità, la riservatezza o l’integrità dei dati personali del cittadino EU sia stata compromessa. Se è probabile che la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve informare anche i soggetti interessati. Politica di notifica delle violazioni dei dati I titolari del trattamento devono controllare che gli eventuali responsabili e subincaricati del trattamento abbiano a loro volta messo in atto adeguate politiche per la notifica delle violazioni dei dati. Il responsabile del trattamento deve informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.

 

Trasferimento transfrontaliero dei dati

   ♦ Il trasferimento di dati personali di cittadini EU/SEE a destinatari al di fuori dell’UE/SEE è in genere vietato a meno che:

      ◊ la giurisdizione in cui si trova il destinatario sia ritenuta in grado di offrire un livello adeguato di protezione dei dati

      ◊ chi esporta i dati fornisca garanzie adeguate (ad es. norme vincolanti d’impresa, clausole tipo di protezione dei dati, uno strumento giuridicamente vincolante e avente efficacia esecutiva fra titolare o responsabile del trattamento nel paese terzo)

      ◊ valgano deroghe o esenzioni

   ♦ Titolari e responsabili del trattamento devono adottare meccanismi leciti di trasferimento dei dati personali che prevedano fra l’altro il consenso dell’interessato, clausole tipo, il rispetto del Privacy Shield in vigore tra UE e Stati Uniti e norme vincolanti d’impresa.

   ♦ I service provider che utilizzano i servizi Acronis Cloud (backup, disaster recovery, Files Cloud) possono specificare l’area geografica in cui saranno archiviati i dati dei clienti (ad es. in un data center situato nell’UE). I service provider devono sempre tenere presente che l’accesso remoto ai dati è considerato trasferimento.

 

In che modo Acronis Cloud Backup puo’ aiutare i service provider a rispettare quanto disposto dal GDPR

Sicurezza del trattamento

   ♦ Crittografia in transito (SSL/TLS) e a riposo (Acronis Storage con AES).

   ♦ Registri di audit per rilevare comportamenti sospetti e raccogliere registrazioni sul trattamento dei dati.

   ♦ Accesso basato sui ruoli per garantire la riservatezza e proteggere da trattamenti non autorizzati

   ♦ Dashboard con avvisi e report per migliorare controllo e monitoraggio.

   ♦ Regole di conservazione personalizzabili per il principio di minimizzazione dei dati.

Diritti dell’interessato / dell’utente

.   ♦ Accesso ai dati, navigazione negli archivi per trovare i dati richiesti.

   ♦ Configurazione dei dati di profilo dell’account per facilitare la rettifica dei dati personali.

   ♦ Esportazione dei dati personali.

   ♦ Eliminazione degli archivi.

Trasferimento transfrontaliero dei dati

   ♦ Controllo dell’ubicazione dell’archivio dati.

   ♦ Data center ubicati nella UE.

 

Corrispondenza tra i requisiti del GDPR e Acronis Backup Cloud

REQUISITO FUNZIONI CHE LO SUPPORTANO
Protezione dei dati personali

 Crittografia in transito e a riposo

 Accesso basato sui ruoli e gestione degli accessi in base ai privilegi

 Protezione attiva contro le minacce ransomware

Accesso / controllo agevole dei dati personali su richiesta degli interessati

 Consultazione degli archivi

 Rettifica agevole dei dati personali

 Esportazione dei dati personali (in formato zip)

 Regole di conservazione personalizzabili

Controllo dell’ubicazione dei dati

 Controllo dell’ubicazione dell’archivio dati

 Data center ubicati nella UE

Monitoraggio / notifica delle violazioni

 Registri di audit per rilevare comportamenti sospetti e prevenire le minacce

 Dashboard con avvisi e report per migliorare controllo e monitoraggio

 

Contattaci

Link utili:

 Nuovi strumenti per il GDPR

Privacy

Quasi pronti per il GDPR

GDPR: che cosa c’e’ di nuovo e cosa c’e’ di vecchio

Privacy

Privacy

Ad oggi i temi relativi alla Privacy e alla protezione dei dati personali sono più sentiti che mai, basti pensare allo scandalo Facebook e Cambridge Analytica, non a caso il Garante della Privacy e l’Unione Europea hanno introdotto il Regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR) che mette in campo una serie di linea guida che le aziende della comunità europea devono osservare per garantire la protezione e la riservatezza del dato utente conservato.

 

PRIVACY E GDPR

Il GDPR racchiude in se non solo gli aspetti strettamente legati alla Privacy ma un insieme più complesso di tematiche, da quelle legali a quelle più tecnologiche. Il nuovo regolamento EU 2016/679 del 28 aprile 2016 infatti ruota intorno ai concetti della protezione del dato, della suo ciclo di vita e della corretta informazioni che l’utente deve ricevere in merito ai suoi dati.

Backup

 

PRIVACYHUB

Dall’esigenza di affrontare nella sua complessità il tema del GDPR grazie all’apporto di competenze specifiche e provenienti principalmente dai settori della Privacy, Legale e Tecnologico, nel dicembre del 2017 nasce PrivacyHub. PrivacyHub è un network di aziende costituito con l’intento comune di costituire un centro di competenza per rispondere in maniera professionale e mirata al nuovo regolamento Europeo e a tutti i temi legati alla protezione dei dati. 

PrivacyHub si compone dei seguenti attori:

   ♦ Secure Online Desktop | Servizi tecnologici e Cloud: Si occupa di tutti gli aspetti tecnologici in tema di Data Protection (Backup in Cloud, Vulnerability Assessment & Penetration Test, Audit Management, Log Management) offrendo il servizio mirato in base alla realtà del cliente e ai risultati ottenuti dalla Gap Analysis.

   ♦ ATS – Consulenti Associati | Consulenza e certificazioni;

   ♦ Studio legale Miari Preite | Aspetti legali;

   ♦ Studio legale Paolo Mega | Aspetti legali.

che, accentrando le esigenze del cliente e mettendo a fattor comune le rispettive conoscenze, sono in grado di proporre soluzioni complete e mirate per l’adeguamento al regolamento EU 2017/679 del 28 aprile 2016.

Scopri

 

COSA OFFRIAMO

Offriamo servizi di consulenza privacy. Dopo una raccolta informazioni (privacy assessment) siamo in grado di effettuare tutte le attività necessarie per ottenere l’adeguamento al nuovo regolamento europeo.

Brochure

Link Utili:

Quasi pronti per il GDPR

GDPR: cosa c’è di nuovo e cosa c’è di vecchio

Nuovo regolamento europeo (GDPR)

Contattaci

 

 

Regolamento 2016-679 del 27 aprile 2016

Il Regolamento 2016-679 del 27 aprile 2016 si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla Privacy.

Come attività affini alla consulenza privacy e nello specifico in relazione alle misure minime di sicurezza che è necessario predisporre a seguito della Gap Analysis e del Privacy Assessment la Secure Online Desktop propone i seguenti servizi.

 

I nostri servizi per il Regolamento 2016-679 del 27 aprile 2016

   ♦ CONSULENZA GDPR

      E’ l’attività di consulenza per l’adeguamento al nuovo regolamento privacy 2016-679. Scopri di più.

 

   ♦ PRIVACY ASSESSMENT

      E’ una delle prime attività all’interno dei progetti di consulenza GDPR volta a “fotografare” lo stato attuale dell’azienda sul tema Privacy. Scopri di più.

 

   ♦ VULNERABIITY ASSESSMENT & PENETRATION TEST

      Le attività di Vulnerability Assessment e Penetration Test  hanno lo scopo di valutare il livello di sicurezza informatica di un’infrastruttura informatica. Scopri di più.

 

   ♦ FORMAZIONE PRIVACY

     La formazione degli incaricati del trattamento dei dati personali, oltre a costituire un obbligo di legge, rappresenta una delle misure di sicurezza più efficaci a tutela dei medesimi dati. La formazione è infatti indispensabile affinché le misure di sicurezza logiche e fisiche, nonché le politiche e le procedure adottate dalle aziende, trovino l’applicazione concreta e consapevole nella pratica quotidiana.

I corsi vengono erogati in aula direttamente presso il cliente, e sono progettati e tenuti da Privacy Officer e docenti esperti di sicurezza dei dati personali e di organizzazione.

Tutti i nostri corsi hanno carattere fortemente pratico e vengono svolti attraverso una costante interazione fra docente e partecipanti, con l’obiettivo non solo di far conoscere i principi fondamentali della legge, ma anche e soprattutto di accrescere la consapevolezza dei partecipanti sulle misure di sicurezza da adottare e sulle linee guida comportamentali per il corretto utilizzo degli strumenti aziendali. Scopri di più.

 

   ♦ LOG MANAGEMENT

      La raccolta, l’aggregazione e la conservazione sicura dei log sono alcune delle attività da prendere in considerazione nel processo di adeguamento al GDPR . Scopri di più.

 

   ♦ AUDIT MANAGEMENT

Il nostro sistema di Audit Management verifica gli accessi di utenti “privilegiati” verso server remoti, previene comportamenti non autorizzati, registra le attività in sessioni video ricercabili e genera report di compliance e supporto.

 

   ♦ STRONG AUTHENTICATION

 

   ♦ CIFRATURA

 

   ♦ BACKUP ON CLOUD

      La resilienza dei dati, il loro backup e la protezione da minacce sono aspetti fondamentali all’interno del nuovo Regolamento  2016-679 del 27 aprile 2016. Scopri di più.

 

La Secure Online Desktop in primis ha messo in campo le misure idonee per essere conforme all’adeguamento al fine di proteggere la privacy dei propri utenti. 

Contattaci

Link utili:

Business Continuity Audit

Vulnerability Assessment & Penetration Test

Adeguamento al nuovo regolamento privacy (UE) 2016/679

GDPR: che cosa c’e’ di nuovo e cosa c’e’ di vecchio

Webinar

Evento gratuito – Nuovo regolamento europeo Privacy (GDPR): quali impatti su enti e aziende?

Soluzioni ICT

GDPR 2018

GDPR 2018: che cosa c’e’ di nuovo e cosa c’e’ di vecchio.

Nel mio lavoro di professionista della privacy  ho avuto a che fare con aziende e pubbliche amministrazioni che  – chi con più impegno e sforzo, chi con meno – hanno provato ad adeguarsi alle normative cosiddette “privacy” che si sono succedute negli ultimi vent’anni.  Ma quando mi è capitato di incontrare queste aziende dopo un po’ di tempo, ho scoperto che tutti quegli sforzi – grandi o piccoli che fossero – non hanno avuto alcun seguito: è stato costruito un magnifico castello al quale però non è stata fatta alcuna manutenzione, e quel castello è caduto a pezzi, in qualche caso non esiste più e molti non sanno se sia mai esistito.

Ecco che allora, quando penso al GDPR e a tutti quelli che si preoccupano delle novità che questo introduce e degli investimenti che occorrerà fare per adeguarsi, insomma quando i miei clienti  mi chiedono quanto questo nuovo castello costerà loro, mi viene da dire che piuttosto che pensare a quanto occorrerà investire per costruire il castello (nuovi software, nuove tecnologie) sarà più importante pensare al dopo, a come organizzare e manutenere  i propri processi, a come tenere aggiornate le proprie persone, a come verificare, monitorare che i dati siano trattati nel rispetto dei principi, che l’efficacia delle misure di sicurezza sia sempre adeguata in rapporto all’evoluzione delle minacce e ai nuovi trattamenti che le aziende mettono in atto.

Sì, perché nel GDPR c’è poco di nuovo quanto a prescrizioni (il GDPR non ha poi tanto carattere prescrittivo), c’è invece moltissimo di nuovo quanto a principi e a responsabilità.

Uno dei principi chiave del GDPR 2018 è infatti quello di accountability, di responsabilizzazione.

E’ il Titolare, infatti,  che è responsabile di qualunque decisione in merito alle misure adeguate da predisporre, e le misure le stabilisce in base ai risultati dell’analisi dei rischi (e quest’ultima non è una novità, ricordate il DPSS la cui obbligatorietà era stata cancellata nel nostro ordinamento?). E l’analisi dei rischi va fatta sui trattamenti, occorre redigere un Registro dei Trattamenti (Il DPSS prevedeva un censimento dei trattamenti, anche qui nulla di nuovo…).

Ma le misure di sicurezza, i processi di trattamento, non sono qualcosa di statico. Inoltre può accadere che non tutta l’organizzazione sia costante nell’applicare i principi e le misure nella pratica quotidiana.

Ecco che allora il GDPR richiede che l’efficacia delle misure venga monitorata, che l’applicazione dei principi venga verificata: questo ha un solo nome, che nella versione italiana del GDPR è stato tradotto in maniera improvvida  in tre modi differenti. Questo nome è AUDIT: ecco quello che bisogna continuare a fare.

E molta attenzione occorre anche fare quando si progettano nuove misure, nuovi trattamenti: occorrerà rispettare i principi cardine del privacy by design e privacy by default.

E per i trattamenti più rischiosi (quelli che vengono operati su dati rischiosi per la libertà e dignità degli interessati, i dati sanitari, i dati biometrici, i dati genetici…) occorre provvedere a una Valutazione d’Impatto ancor prima di iniziare il trattamento. La legislazione attuale prevede una notifica al Garante, un atto il più delle volte solamente burocratico: il GDPR chiede qualcosa di più complicato, che va ad intersecarsi con il principio di responsabilizzazione (accountability): è sempre il Titolare che è responsabile di effettuare una valutazione d’impatto e decidere le misure.

In conclusione,  nel GDPR 2018 c’è molto di vecchio, di già presente nella normativa attuale, anche se in taluni casi un po’ nascosto tra le righe, ma spesso meno nascosto nei provvedimenti del Garante. La vera novità, come abbiamo potuto vedere, sta nella responsabilizzazione, nella necessità – anzi nell’obbligo – di fare manutenzione, ed è proprio lì che vanno anche ad inserirsi le nuove (quelle sì!) e molto più pesanti sanzioni.

Paolo Raimondi,  Privacy Officer e Consulente della Privacy

 

GDPR 2018

 

Link utili

Nuovo regolamento privacy

GDPR

Contattaci

 

Customers

Newsletter