Richiedi il materiale informativo

General Data Protection Regulation.

E’ il regolamento europeo sulla protezione dei dati personali che, a partire dal 25 MAGGIO 2018, sostituisce e integra le leggi esistenti sulla protezione dei dati in tutti gli Stati membri dell’UE.
Lo scopo del regolamento è di proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dall’accesso o divulgazione non autorizzati, e da qualsiasi altra forma illecita di trattamento. 
GDPR sarà applicato inderogabilmente dal 25 MAGGIO 2018.

 

La decisione del Regno Unito di lasciare l’UE non ne influenzerà l’entrata in vigore.

Il GDPR vale per i soggetti e le organizzazioni che trattano dati personali all’interno dell’UE o trattano dati fuori dall’UE, ma che fanno riferimento a cittadini europei.

 

I titolari del trattamento dei dati personali sono persone fisiche o “persone giuridiche”, e sono coloro che determineranno le finalità, le condizioni e gli strumenti per il trattamento dei dati personali. Titolare potrebbe essere ad esempio un medico con i dati dei pazienti.

 

I responsabili del trattamento sono le entità che elaborano i dati per conto dei titolari del trattamento. Ad esempio un’organizzazione che memorizzi, digitalizzi e cataloghi tutte le informazioni prodotte su carta da parte di una banca.

Il GDPR si applica a tutti i dati personali.
I dati personali sono informazioni che possono essere utilizzate, da sole o con altre informazioni, per identificare l’utente come persona
Ad esempio (ma non limitato a):

 

Nome, cognome, indirizzo, numero di telefono, documentazione sanitaria…
Esse devono elaborare tutti i dati personali in modo lecito, con correttezza e in modo trasparente.
I dati personali devono essere rilevati solo per finalità determinate, esplicite e legittime.
I dati personali devono essere elaborati in modo da garantire l’adeguata sicurezza degli stessi.
“Privacy by design”: il tema della privacy by design permea il GDPR, con l’obiettivo che la sicurezza sia considerata come parte fondamentale già in fase di progetto e di utilizzo di tutti quei prodotti o servizi che gestiscano dati personali.
Le aziende dovranno implementare la privacy fin dall’inizio di qualsiasi progetto che coinvolga informazioni personali.
Responsabili della protezione dei dati (DPO) sono necessari quando:
Il trattamento dei dati personali è ad opera di autorità pubbliche.

L’elaborazione viene eseguita dai soggetti che regolarmente e sistematicamente trattano dati personali su larga scala.

 

Il soggetto tratta su larga scala categorie specifiche di dati ‘speciali’, ad esempio idonei a rivelare:

 

  • salute 
  • origine razziale o etnica
  • opinioni politiche
  • convinzioni religiose o filosofiche
  • appartenenza a sindacati
  • condanne penali
     
Si noti che anche se una prima bozza della GDPR limitava l’obbligatorietà del DPO alle aziende con più di 250 dipendenti o che trattano dati personali per 5.000 o più soggetti, la versione finale non ha alcuna restrizione in merito.
  • Di quali dati personali sono titolari.
  • Dove i dati personali vengono memorizzati.
  • Come i dati personali vengono memorizzati.
  • Chi può accedere ai dati personali.
  • Come si ottiene l’accesso ai dati personali.
  • Chi sta monitorando i dati personali.
  • Come i dati personali sono accessibili su richiesta.
  • Come i dati personali possono essere cancellati su richiesta.

Il GDPR definisce la violazione dei dati come una violazione della sicurezza che conduce ad accesso, distruzione, perdita, alterazione o divulgazione non autorizzata dei dati personali.

Questo significa che una violazione dei dati è molto più della sola perdita dei dati personali.
Ad esempio:
  • Un ospedale potrebbe essere responsabile di una violazione se la cartella clinica di un paziente risultasse accessibile in modo inappropriato a causa di una mancanza di adeguati controlli interni. 
  • Una banca potrebbe essere responsabile di una violazione se i dati personali dei loro clienti venissero distrutti a causa di un’infezione da “ransomware”.
Una violazione dei dati potrebbe essere causata dall’interno.
Ad esempio:
  • Perdita accidentale dei dati personali, ad esempio attraverso lo smarrimento di un laptop o di un dispositivo mobile non crittografati.
  • Divulgazione accidentale dei dati personali, ad esempio l’invio di una email contenente dati personali non crittografati al di fuori dell’organizzazione.
  • Furto deliberato dei dati personali, ad esempio l’esportazione con dispositivi di archiviazione USB.
Una violazione dei dati potrebbe essere causata dall’esterno.
Ad esempio:
  • Attacco mirato ai sistemi che contengono dati personali.
  • Perdita dei dati portata dall’infezione dei sistemi da parte di un “malware”.

I titolari del trattamento sono tenuti a segnalare una violazione dei dati all’autorità di vigilanza competente senza indebito ritardo.

  • Nel caso in cui la violazione dei dati personali possa provocare un rischio elevato ai diritti e le libertà di un soggetto, il titolare del trattamento deve comunicare la violazione all’interessato senza indebito ritardo.
  • Nel caso in cui la violazione non arrechi un rischio per i diritti e le libertà delle persone interessate, andrà comunicata entro e non oltre le 72 ore successive dalla scoperta
Con queste premesse GFX, supportata da personale qualificato e certificato, ha ideato un processo “tailor made” per guidare le aziende nell’intricata galassia dell’applicazione del GDPR:  
  • Consulenza: Introduzione al nuovo GDPR; quali impatti, responsabilità, sanzioni, approccio metodologico. 
  • Assessment: analisi dei rischi e dell’impatto del nuovo GDPR sull’azienda, GAP Analysis AS IS – TO BE 
  • Disegno di processo: consulenza nel disegno di nuovi processi operativi 
  • Tool di supporto: basato sulla struttura organizzativa dell’azienda, identifica i responsabili del trattamento, monitora la correttezza dell’applicazione del GDPR sui processi aziendali, segnala le NON Conformità nel trattamento e suggerisce le azioni correttive necessarie.
  • Programma Corsi: Una serie di corsi mirati per gli utenti, per il board e un corso dedicato per la formazione del DPO
     

Supportata direttamente dai Vendor quali:

  • Acronis: soluzioni di backup crittografato, sia on-premise che in cloud certificato sito nell’UE, che permettono il salvataggio e il ripristino dal singolo file/mail/database all’intero device (computer, server, smartphone, tablet…) sia fisico che virtuale, nonché di ambienti di lavoro cloud (Azure, AWS, Office365…)
  • Bitdefender e Kaspersky Lab come protezione per gli Endpoint, anelli di congiunzione tra IT e persone: i security tools offrono funzionalità antimalware, personal firewall, device control, content filtering e DLP, sia con gestione on-premise che in cloud.
  • SG BOX: una piattaforma SIEM modulare per il controllo e la gestione della sicurezza ICT. Integrando gli eventi raccolti da diverse fonti, lo stato dell’hardware e il rilevamento di vulnerabilità software, un correlatore segnala la nascita e l’evoluzione di ogni comportamento anomalo consentendo la messa in campo di contromisure automatiche
  • Watchguard: Next-Generation firewall che implementano sia la prima linea di difesa contro gli attacchi dall’esterno che l’ultima contro la perdita di dati
  • G-Square: la soluzione ITSM, Service Desk e Help Desk che integra gli strumenti fondamentali di gestione del patrimonio IT in un unico software. I suoi numerosi moduli includono un potente Help Desk, IT Asset Management, IT Asset Inventory e gli strumenti necessari per analizzare e ottimizzare le performance dell’IT.

 

GFX è in grado di accompagnarvi a 360° nel processo di compliance al GDPR 

  • 06.53.62.53
    06.58.27.314
  • info@gefx.it
  • Via Mario Bianchini 51
    00142 - Roma, Italia
  • P.Iva: 02056831007
  • Codice SDI: T9K4ZHO
  • Capitale Sociale: 119.000,00 i.v.

Company