Tag Archives: consulenza

Infoaziende   →  Privato: News2   →  consulenza

“La GDPR richiede una rivoluzione aziendale”: le dichiarazioni di Loredana Rossiello, consulente privacy e sicurezza dati

Categories News

La nuova General Data Protection Regulation riguarda tutte le aziende e i professionisti, a prescindere dall’attività svolta o dai numeri della realtà interessata. Concerne, infatti, l’utilizzo dei dati e chiunque abbia un’attività ha a che fare con gli stessi. Il vero passaggio da compiere, in previsione del 25 maggio 2018, data in cui la normativa entrerà in vigore, è cogliere l’importanza di abbandonare le precedenti, ed errate, abitudini per un approcciarsi ad un vero e proprio cambiamento”. Con queste parole Loredana Rossiello, Data Protection Officer e Consulente Privacy e Sicurezza Dati, sottolinea quanto la GDPR rappresenti una vera “rivoluzione”. “Si tratta di una riforma molto attesa, nata dopo quattro anni di travaglio. Parliamo di un regolamento europeo che, proprio per questo, unifica le leggi nazionali, sotto un’unica rigorosa veste. Pubblicata nel maggio 2016, non vedrà alcun tipo di proroga e non bisogna compiere l’errore di pensare che per un completo adeguamento ci sia ancora molto tempo. Anzi, bisogna considerare” – specifica la Dott.ssa Rossiello – “tutti i passaggi preventivi per mettersi in regola secondo quanto stabilito. Senza alcuna esagerazione si può affermare che la GDPR richieda una ristrutturazione aziendale”.

Ma quali sono gli obblighi richiesti e quali le novità per aziende e professionisti? Abbiamo chiesto a Loredana di elencarci alcuni esempi per una maggiore consapevolezza in merito alla portata innovativa e agli impegni previsti dalla legge.

Tanti gli aspetti che cambiano, tra questi possiamo menzionare le informative sulla privacy. La GDPR dice no ai documenti lunghi, preferendo una versione più concisa, ma anche più precisa, chiara, intellegibile e inequivocabile. Per ovviare al problema lingua e, conseguentemente alla comprensione del testo, si sta pensando ad una modalità di “scrittura” dell’informativa che utilizzi delle icone, dei simboli facilmente riconoscibili da tutti”.

Non solo, le modifiche dovranno riguardare gli stessi sistemi informatici e i software gestionali in uso nelle aziende o negli studi: per essere a norma dovranno richiedere e gestire il minor numero di informazioni e i dati dovranno essere crittografati.

Il regolamento pone, inoltre, l’accento sulla “accountability”, ossia la responsabilizzazione di titolari e responsabili sull’adozione di comportamenti proattivi e tali da dimostrare la concreta applicazione. Non basta, quindi, adeguarsi agli obblighi previsti, ma occorre dimostrarlo attraverso una serie di “prove” che testimoniano il corretto comportamento dell‘azienda/studio/ente o professionista. Tra questi, solo per fare un esempio, vi è la certificazione in ambito privacy che, pur non rappresentando un obbligo, risulta utile a dare visione delle misure precauzionali seguite.

Il data breach, invece, rappresenta l’obbligo per tutti i titolari di notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”.  Segnalare la perdita, il danno o il furto dei dati non è sufficiente: occorrono ulteriori dettagli relativi alle attività svolte in precedenza per la tutela dei dati e alla successive alla perdita per il recupero degli stessi.

La GDPR vede anche nuovi diritti, tra cui – ci spiega la Dott.ssa Rossiello – il “diritto alla portabilità. Previsto dall’articolo 20 del regolamento, consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Per fare un esempio legato alla quotidianità, basti pensare ai numeri di telefono e i dati associati, nel momento in cui di decide di cambiare operatore.

Non può, infine, mancare un riferimento al DPO, Data Protection Officer, ossia il Responsabile della protezione dei dati, nuova figura nominata dal Titolare del Trattamento e dal Responsabile del Trattamento dei Dati. La fondamentale attività del DPO dovrà essere svolta in piena autonomia e indipendenza, libera da conflitti di interesse, in particolare nell’ esecuzione dei suoi compiti di controllo e vigilanza.
Queste sono solo alcune delle tante modifiche e novità previste dal regolamento in vigore il prossimo anno. Conviene però tenere a mente, come suggerito da Loredana, che “la legge sulla Privacy non è la legge del “no”, ma del “come”. “Non va vista come una negazione ma come una spiegazione di cosa è possibile fare e in quali, corrette, modalità”.

Disaster Recovery e GDPR, sicurezza dei dati e rispetto della normativa

Categories News

La GDRP, General Data Protection Regulation, normativa con cui l’Unione Europea intende rafforzare e unificare la protezione dei dati personali entro i propri confini, prevede una serie di obblighi per le aziende, come già illustrato in precedenza (https://www.infoaziende.net/gdpr-cosa-prevede-la-nuova-normativa/).
A questi, al fine di rendere la propria attività pienamente conforme alla disposizione, va sicuramente aggiunta una particolare attenzione alle soluzioni tecniche che consentono la massima protezione dei dati.
Tra di esse, la più idonea è senza dubbio data dal sistema di Disaster Recovery, che funge da tutela in caso di disastri in caso di fault dei sistemi IT e conseguente perdita dei dati. In primis occorre calcolare i parametri dell’azienda, ossia il recovery point objective (RPO) e il recovery time objective (RTO), dati strettamente associati con le attività di ripristino.

L’RTO, ossia il Recovery Time Objective, è il tempo massimo di ripristino dei sistemi ICT in caso di disastro  senza che questo fattore abbia un impatto negativo sul business. Laddove si calcoli un RTO pari a 0 significa che quel dato o quella applicazione devono essere disponibili sempre e in modo continuativo e conviene, quindi, optare per una soluzione di Business Continuity in Cloud.

L’RPO – Recovery Point Objective, invece, consiste nella quantità di dati che l’azienda può perdere senza che questo abbia risvolti negativi sull’attività. Se l’RPO è pari a 0 significa che non è consentita la perdita di nessun dato. In pratica con questo parametro si stabilisce dopo quanto tempo, dalla sua creazione o modifica, un dato debba essere salvato per evitarne la perdita o la corruzione.

I consulenti di InfoAziende sono in grado di progettare un sistema di Disaster Recovery perfettamente aderente ai parametri definiti e completamente personalizzato passando, laddove risulti utile e necessario, ad una soluzione di Business Continuity, capace di garantire la continuità operatività. Inoltre i nostri esperti sono a disposizione per consulenze rispetto a tutti gli aspetti procedurali legati alla GDPR per un quadro operativo e una visione completa di tutte le soluzioni da adottare.

Ciao, come posso esserti di aiuto?