E’ ormai in vigore il GDPR, il Regolamento Europeo per la Protezione dei Dati. Come operatori di rete e telecomunicazioni, abbiamo inserito tra i nostri servizi un pacchetto studiato ad hoc per la protezione dei dati e la sicurezza aziendale.
COSA OFFRE LARGABANDA
- Consulenza sulla sicurezza informatica in genere
- Installazione ed attivazione di firewall di ultima generazione
- Personale dipendente certificato Sonicwall
- Installazioni standard o “training on the job” per formare il personale interno senza l’interruzione dei servizi aziendali
- Penetration test interno/esterno e vulnerability assessment
- tramite la collaborazione con “hacker etici” di fama mondiale
- Compliance GDPR effettuata in collaborazione con un professionista sulla privacy e sul trattamento dei dati personali, certificato ed iscritto ad Asso Dpo
- Valutazione d’impatto
- Formazione dipendenti
- Certificazioni
- Documentazione aggiornata in base alle ultime del Garante Europeo ed Italiano
- Dpo (data protection officer) esterno
- E’ una figura autonoma e indipendente, con competenze giuridiche, informatiche, di risk management e di analisi dei processi, che deve svolgere i suoi compiti in assenza di conflitto di interesse. In tal senso non può ricoprire tale incarico un soggetto che si trova ai vertici aziendali, quindi in grado di influenzare le scelte adottate in materia di trattamento dei dati. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato.
Che impatto ha il c.d. GDPR sulle piccole e medie imprese? E sui liberi professionisti? Il regolamento coinvolge chiunque abbia a che fare con dati personali, vanno in questa direzione l’obbligo di protezione dei dati fin dalla progettazione (Privacy by Design) e di protezione per impostazione predefinita (Privacy by Default).
Per dato personale si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.
A seguire alcuni consigli utili per tamponare momentaneamente il mancato adeguamento al GDPR…ma potete affidarvi ai nostri esperti certificati per un pacchetto completo sulla compliance al Regolamento.
- Aumentare la consapevolezza
A prescindere dalle dimensioni della vostra azienda, è necessario informare il vostro personale sull’arrivo del Gdpr e della maggior accortezza necessaria nel processare i dati dei clienti, così come nell’impostare adeguate procedure di sicurezza sui computer. Ad esempio: niente più post-it sullo schermo con la password, niente più computer accessibile quando si va in pausa pranzo, niente più accesso ai dati a tutti i dipendenti dell’azienda se non ve ne è motivo.
- Verificare le informazioni e i dati che si posseggono
Capire che tipo di dati si trattano nella propria attività, da dove vengono e con chi si condividono, inclusi i servizi e i software che li gestiscono è fondamentale per una buona tutela. Che programma usate per le mail, il cloud o la newsletter? Sono affidabili? Avete una regolare licenza d’acquisto o li avete scaricati? La mancata licenza, ad esempio, non darebbe la tutela contrattuale prevista in caso di malfunzionamenti e perdita o diffusione di dati non autorizzata.
- Rivedere le informative sulla privacy
Le informative sulla privacy e sui cookie vanno riviste alla luce del Gdpr. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati. Vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni. Bisogna poi spiegare su quale base vengono forniti quei dati (consenso, un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati o secondo quali criteri. Si deve dire se i dati saranno trasferiti verso Paesi terzi, fuori dall’Unione Europea, cosa molto probabile se si usano servizi come social network o mailchimp. Importante anche informare l’utente sulla possibilità di ricorrere al Garante e all’autorità giudiziaria. Infine queste informazioni non devono essere nascoste nei meandri del sito internet ma ben visibili e facilmente accessibili.
- Occhio al consenso
Il consenso è diventato ancora più importante di quanto non lo fosse prima. Ad esempio, il consenso del cookie banner del vostro sito, se era stato ottenuto in modo implicito o comunque ambiguo (“se continui nella navigazione accetti le condizioni”) va riottenuto fornendo una reale possibilità di scelta, con un’azione chiara e affermativa. Così come, nonostante fosse vietato anche prima, si ricorda che non si possono fornire formulari, web o cartacei, pre-compilati o con un consenso valido per tutto (come trattamento dei dati e marketing). Il consenso al trattamento dei dati va inoltre separato dai Termini e Condizioni del servizio.
- Saper gestire violazioni e fughe di dati
Avere i mezzi (firewall di ultima generazione e antivirus aggiornati ad esempio) per essere in grado di verificare se c’è stata un fuga di dati ed essere in grado di capire che tipo di dati sono stati presi. Se la fuga può mettere a rischio i diritti e le libertà degli individui (danno reputazionale, perdite finanziarie..) allora deve essere notificato entro 72 ore al Garante e all’interessato. Al di là delle notifiche, ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (art. 33).
- Attenzione alle multe
Il GDPR porta con sé alcune preoccupazioni legittime, legate alle sanzioni previste dal regolamento, agli impatti negativi sull’immagine della società in caso di compromissione. Allo stesso tempo però apporta una lunga lista di benefici concreti, a partire dalla maggiore sicurezza dei dati gestiti dall’azienda, contrastando il traffico illegale delle informazioni, snellisce i processi aziendali, stimola investitori e partner, migliorando l’immagine aziendale ed apporta benefici alla protezione delle altre informazioni aziendali come la proprietà intellettuale.
Le sanzioni in caso di mancato adeguamento sono molto alte: fino a 20 milioni di euro o il 4% del fatturato globale e non verrà applicato un “periodo di tolleranza” ma dal 25 Maggio 2018 tutti le categorie implicate saranno passibili di multa.
Per un incontro gratuito e senza impegno potrete chiamarci al numero 057548363 interno 1. Saremo ben lieti di spiegarvi il nostro approccio al GDPR e di accompagnare la vostra azienda verso questo importante cambiamento.
Potete raggiungerci per email scrivendo a commerciale@largabanda.it oppure potete cliccare su “verifica” e compilare il form di richiesta info.
Fonti: www.garanteprivacy.it/regolamentoeu, www.wired.it