Compliance GDPR – Cosa significa accountability?
Compliance GDPR – Cosa significa accountability?
Accountability: consapevoli, competenti e responsabili
Consapevolezza: sai quali dati personali tratti?
Il problema oggi è proprio questo: aziende, imprenditori, consulenti, professionisti non sono consapevoli.Competenza: i trattamenti che stai facendo hanno un rischio residuale basso?
I rischi per i dati personali sono 6
I rischi per i dati personali sono solo 6 e vanno valutati guardando al caso specifico, a quello che fa l’azienda e a come si muove:
• DISPONIBILITÀ
Esempio – Cancello l’unico file con l’anagrafica dei clienti persone fisiche della mia azienda e non posso più recuperarli
Esempio – L’azienda prende un Cryptolocker che blocca tutti i documenti e non permette l’accesso
• INTEGRITÀ
• RISERVATEZZA
Esempio – Pubblico sulla Pagina Facebook dell’azienda una foto di 3 dipendenti mentre si ubriacano alla festa di fine anno.
Le contromisure per ridurre il rischio
Responsabilità: sai se i tuoi responsabili esterni sono compliant al GDPR?
- il titolare del trattamento ha l’obbligo di verificare che il suo responsabile esterno sia compliant GDPR e quindi che si comporti in maniera adeguata, abbia adeguate contromisure, tratti i dati in modo che il rischio residuale sia basso;
- il titolare del trattamento deve avere sotto controllo costante la catena dei responsabili; quindi, per esempio, se affida dei dati allo studio paghe, perché faccia le paghe dei suoi dipendenti, deve sapere se lo studio paghe, a sua volta, affida una parte dei trattamenti ad un altro responsabile, che potrebbe essere chi gli ha fatto il software, chi gli gestisce il Cloud e così via. Questa catena deve essere chiara dall’inizio.
Accountability significa anche fornire delle prove
Privacy e violazione di dati personali: esempi e casi pratici
Fondamentalmente per due ragioni, che hanno un nome ben preciso: eccesso di zelo e ignoranza. Quindi o si segnala per mettere le mani avanti – l’avvocato ha detto che bisogna segnalare perché altrimenti se lo scopre il Garante finisci in galera – oppure segnali perché non sai.
- se l’incidente segnalato è una violazione oppure no (nel nostro esempio se la perdita della chiavetta USB è una violazione o no)
- se la violazione va notificata oppure no.
Cos’è una violazione e quando va segnalata
Le violazioni dei dati personali possono essere accidentali – capitano per sbaglio o per errore – o volontarie, e sono:
A chi notificare? Al Garante e/o agli interessati.
È un Data Breach? Esempi e casi pratici
Adesso prendiamo alcuni casi e cerchiamo di capire se sono violazioni oppure no e se vanno notificate oppure no.
Caso della struttura sanitaria che ha un portale dove i pazienti possono scaricare i referti
Prima di rispondere, ti racconto cos’è accaduto dopo l’incidente.
Caso della società per il lavoro e dell’invio a centinaia di persone della posizione giuslavoristica di Antonio
Caso dell’azienda di profumi a cui vengono rubati 40 computer
Risposta: no e no. I computer erano puliti e protetti e con c’era bisogno di fare alcuna notifica né di registrare nessuna violazione.
Caso del sistema di prenotazione alberghiera che subisce un attacco hacker
Se Antonio avesse già mandato l’acconto e fosse uno un po’ sgamato, magari gli si accenderebbe la lampadina. Gli verrebbe il dubbio e chiamerebbe l’Hotel XYZ per sapere se effettivamente la mail l’hanno mandata loro. Ma nella maggior parte dei casi, dato che si tratta di piccoli importi, alle persone non viene questo scrupolo e cadono nella truffa.
Sei un titolare del trattamento? Usa un metodo oggettivo per identificare le violazioni
Sono andati persi, rubati, cancellati eccetera dei dati personali?
Autore Andrea Chiozzi
Privacylab GDPR – Le novità di Marzo 2020
PrivacyLab GDPR continua ad aggiornarsi costantemente e a rilasciare sempre qualcosa di nuovo.
Legal Logger: la soluzione per il Log Management compliance al GDPR made in Italy
Legal Logger è una soluzione made in Italy, che si serve di machine learning per effettuare il discovery e l’inventario della rete aziendale, il monitoraggio degli accessi ai sistemi file e cartelle tramite l’analisi intelligente delle anomalie, garantendo sicurezza e protezione dei dati personali e quindi l’adeguamento al GDPR.
Tramite l’individuazione di potenziali data breach, la soluzione invia alert email agli amministratori di sistema e agli IT manager consentendogli di agire tempestivamente per risolvere e ridurre al minimo gli effetti della violazione.
Legal Logger si rivolge a tutti i tipi di organizzazione, grande azienda o PMI, che abbia la necessità di garantire la protezione e la sicurezza dei dati personali vedendo garantita la compliance al GDPR.
In base al nuovo GDPR una soluzione di Log Management diventa uno strumento fondamentale per il titolare del trattamento per assicurare in maniera permanente l’integrità, la disponibilità, la riservatezza e la resilienza dei sistemi e dei servizi riferiti al trattamento dei dati . Legal Logger garantisce una valenza legale in ottica GDPR del Log raccolto applicando una marca temporale (Infocamere) sullo stesso per certificare al data certa dell’evento.
LEGAL LOGGER – LE FUNZIONI DI ACCOUNTING ED INVENTORY
La soluzione si compone di due funzionalità principali, che agiscono in ottica GDPR:
- la parte di Accounting che si occupa di analizzare gli accessi ai dati personali, fornendo la corretta trasparenza su ogni operazione.
- La funzione di Inventory aiuta a mantenere una visione globale della della rete aziendale
Analizziamo i dettagli:
- Legal Logger Accounting: registra i log degli eventi di sistema e monitora gli accessi ai dati personali tramite l’installazione di un agente sulle macchine e sugli apparati da monitorare. In questo modo, i consulenti e i Data Protection Officer (DPO) possono perfezionare la fase di audit GDPR (ispezione sistematica, documentata e indipendente) e garantire la tracciabilità delle operazioni svolte dai vari utenti presenti nel network;
- Legal Logger Inventory: un network scan software per eseguire l’inventario e l’audit della rete e analizzare dispositivi hardware, applicativi, database e policy che regolamentano la sicurezza informatica e la protezione dei dati personali secondo il GDPR. Funziona senza la necessità di installare agenti o software di terze parti ed è compatibile con sistemi Ms Windows, Unix, Linux, BSD, Apple e Android.
L’importanza di scegliere il partner e gli strumenti adeguati per garantire alle Aziende e alla P.A. la sicurezza IT, la Business Continuity e la compliance al GDPR.
Contattaci se vuoi saperne di più.
N4B SRL – commerciale@n4b.it – 0522-1607412
Distributore: Solarwinds MSP – Legal Logger – Swascan – LeadBI – Privacylab
Partner: Privacylab Academy
PrivacyLab Day, 7 febbraio 2020
Fonte: Redazione Blog Privacylab – Febbraio 2020
“Dal click al valore”: il tema della seconda edizione
I relatori del PrivacyLab Day 2020
Il 7 febbraio a Reggio Emilia, importanti relatori hanno delineato le dinamiche e le criticità che caratterizzano lo scenario attuale del Regolamento Generale sulla Protezione dei Dati.
Fiorenzo Bellelli, Amministratore Delegato Warrant Hub – Tinexta Group, ha aperto la serie degli interventi parlando di “GDPR tra difficoltà, reticenze ed opportunità”.
A seguire, Nicola Bernardi, Presidente dell’Associazione Federprivacy, ha tracciato il profilo delle figure professionali della data protection più richieste dal mercato, mentre Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati personali, si è soffermato sul tema delle attività ispettive al tempo del GDPR.
Infine, Umberto Rapetto, Generale della Guardia di Finanza in Riserva e già comandante del GAT Nucleo Speciale Frodi Telematiche, ha illustrato il quadro attuale della cyber-security in Italia anche alla luce dei suoi ruoli di Vice Presidente dell’Autorità Garante della Repubblica di San Marino, Docente universitario, giornalista e scrittore.
In questo contesto, Andrea Chiozzi, CEO di PrivacyLab, ha tracciato il quadro su come servizi e strumenti all’avanguardia possono portare a un mercato più maturo, grazie a una rete qualificata di consulenti e partner. Con l’occasione, Chiozzi ha presentato anche le novità di PrivacyLab in termini di servizi, strategie e formazione, nonché le nuove opportunità di sviluppo per il canale.
Guarda i video dell’evento:
Mattina https://youtu.be/l40TwA9CJHA
Pomeriggio https://youtu.be/_aSOpmtrZK0
Un anno di PrivacyLab https://youtu.be/hDBt_qsDFCQ
Vuoi partecipare alla prossima edizione del PRIVACYLAB DAY?
L’importanza di scegliere il partner e gli strumenti adeguati per garantire alle Aziende e alla P.A. la sicurezza IT, la Business Continuity e la compliance al GDPR.
Contattaci per maggiori informazioni!
N4B SRL – commerciale@n4b.it – 0522-1607412
Distributore Solarwinds MSP – Legal Logger – Swascan – LeadBI & Partner Privacylab Academy
I dati sensibili nel GDPR: cosa sono e come vanno trattati
Fonte: Redazione Blog Privacylab – Febbraio 2020
Vediamo di mettere tutti i punti in fila.
I dati sensibili secondo la 196
- l’origine razziale ed etnica di un individuo
- le sue convinzioni e adesioni religiose, politiche e filosofiche
- lo stato di salute e la vita sessuale
GDPR e dati sensibili: è cambiato qualcosa?
L’articolo 9 del GPDR ci dice che i dati particolari (ex-sensibili) non devono essere trattatati – salvo consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati – e ci dice anche quali sono:
-
l’origine razziale o etnica
-
le opinioni politiche, le convinzioni religiose o filosofiche
-
l’appartenenza sindacale
-
i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica
-
i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
La novità vera è un’altra.
- tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona
- i dati precedentemente definiti sensibili e quindi sottoposti a tutela particolare
- le informazioni giudiziarie che possono rivelare l’esistenza di determinati provvedimenti giudiziari a carico della persona
- i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP
- i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi
- i dati genetici e i dati biometrici
Esempi di dati sensibili o particolari, secondo il GDPR
- Peppino è sposato, fa l’agente di commercio ed ha un’amante, che incontra tra un cliente e l’altro mentre è in viaggio per lavoro. Un giorno sua moglie chiama in ufficio chiedendo di lui e la segretaria risponde che Peppino non si è presentato perché sta male. In realtà è al mare con l’amante. La moglie fa due più due e scopre la relazione extra-coniugale. La segretaria ha trattato e comunicato a persone a cui non poteva comunicare dati particolari? Sì, ha trattato in modo non conforme al GDPR un’informazione relativa allo stato di salute di Peppino. E poi, già che c’era, ha scatenato pure “trattamento relativo a dati vita sessuale”, ma questa è un’altra storia…
- Peppino fa il commerciale per la sua azienda. Usa un’auto aziendale e sull’auto c’è un sistema GPS che lo geolocalizza. È un dato particolare? No, ma è comunque un dato personale.
- Antonio è iscritto al Partito Comunista, ogni anno rinnova la tessera e quando può partecipa ai comizi. La sua adesione al PC è un dato particolare? Sì. È un’informazione che rivela le convinzioni politiche di Antonio.
- Antonio, appassionato di bocce, tutte le domeniche assiste alle partite degli anziani alla bocciofila di Borzano di Albinea. È un dato particolare? No, ma è comunque un dato personale, perché rivela un’abitudine di Antonio.
- Giulia è celiaca e Marta vegana. Sono dati particolari? Sì. La prima è un’informazione che rivela le condizioni di salute di Giulia, la seconda le sue convinzioni filosofiche.
- Giulia fa jogging tutte le mattine e Marta fa colazione al bar del paese una volta alla settimana. Sono dati particolari? No, ma sono comunque dati personali, perché riguardano lo stile di vita di Giulia e Marta………………
I dati particolari (ex-sensibili) non vanno mai trattati. È sempre vero? Dipende
- Alcuni dati particolari vanno trattati necessariamente per il calcolo della retribuzione e a fini pensionistici.
- Se l’interessato fa parte di una fondazione, di un’associazione o di un altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, questi enti possono trattare i suoi dati senza obbligo di consenso esplicito solo se il trattamento riguarda unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo per le sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato.
- È necessario trattare dati particolari per tutelare un interesse vitale dell’interessato o di un’altra persona fisica se l’interessato non può dare il suo consenso per incapacità fisica o giuridica.
- Il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.
- Se l’interessato è coinvolto in un procedimento giudiziario – necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali – i suoi dati particolari possono essere trattati senza il suo consenso.
- Il trattamento è necessario per motivi di interesse pubblico rilevante.
- Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.
- Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.
- Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Ricapitolando: cosa devi fare con i dati sensibili
Aziende, professionisti ed enti – quindi tutti i titolari del trattamento – spesso e volentieri incappano nei dati particolari, ex-sensibili, dei loro dipendenti, associati, clienti e così via.
Ecco cosa bisogna fare quando si trattano dati di questo tipo.
Chiediti: il dato che ho di fronte è solo personale o particolare?
GDPR: La visita ispettiva della Guardia di Finanza
Sono trascorsi diversi mesi dal 23 Maggio 2019, il termine ultimo definito dal Garante della Privacy per l’adeguamento alla GDPR da parte delle aziende e pochi mesi dal 19 Maggio 2019, data termine del periodo di giusta tolleranza, vista la complessità della norma, per l’applicazione delle sanzioni previste dal Regolamento UE per i Servizi Ispettivi eseguiti dal Nucleo Speciale della Guardia di Finanza.
A proposito della visita ispettiva… come funziona?
Ce lo racconta Andrea Chiozzi, socio fondatore di PrivacyLAB e autore di Il corvo. Una giornata da dimenticare per Andrea Kaiser.
Il corvo. Una giornata da dimenticare per Andrea Kaiser è il breve racconto, in tono romanzato, in cui il protagonista Andrea Kaiser, vive l’esperienza della visita ispettiva condotta dalla Guardia di Finanza alla Steel, azienda in cui il protagonista riveste il ruolo di Consulente GDPR.
Il racconto è breve e molto utile, sono sufficienti 15 minuti per la lettura completa.
Durante la lettura sarete immersi nella procedura di esecuzione dei Servizi Ispettivi relativi alla Compliance GDPR con l’emotività del protagonista e potrete comprendere a fondo le dinamiche tra richieste di Data Privacy Assessment, registro dei trattamenti, nomina del DPO, informative, nomine del Responsabile esterno e tanto altro.
Buona lettura!
Il corvo. Una giornata da dimenticare per Andrea Kaiser
Andrea Kaiser non aveva dormito quella notte. 5 ore con gli occhi sbarrati e la sensazione sgradevole che quella sarebbe stata una giornata da dimenticare. Imboccata la statale per arrivare in azienda, la sua testa era nel caos. Non riusciva a scrollarsi di dosso la sensazione di sfiga imminente. Scese dall’auto. Accese la sigaretta elettronica. Due minuti di appagamento prima di buttarsi nelle solite 14 ore filate di lavoro. “Devo staccare prima” pensò, rimpiangendo la settimana sabbatica in barca a vela del mese precedente. Un corvo planò di fronte al campo incolto di fronte a lui, proprio mentre il vapore della sigaretta svaniva nell’aria. “Cattivo presagio?” Scacciò il pensiero “Devo smetterla di autosuggestionarmi” si disse seccato.
Kaiser superò il vialetto che dal parcheggio portava alla STYLE – l’azienda che lo aveva nominato consulente privacy – una piccola catena di abbigliamento, 15 negozi e un e-commerce per un totale di 60/65 mila clienti sparsi per tutto il nord d’Italia – quando squillò il telefono. Era Giulia, l’assistente di Erminio Cocci, l’Amministratore Delegato.
«Benissimo. Certamente maresciallo» l’A.D. si schiarì la gola «Vi faccio strada»
I cinque uomini si chiusero la porta alle spalle. Giulia, agitata, tornò alla scrivania, accese il computer e cercò di concentrarsi sul lavoro, gli occhi che correvano dal monitor all’ufficio del titolare. Cosa stava succedendo?
«Per quanto riguarda la videosorveglianza» proseguì il consulente «abbiamo l’informativa completa. Il Dott. Cocci ha fatto installare i cartelli prima del raggio d’azione delle videocamere e nel Registro dei trattamenti c’è anche quello della videosorveglianza. Le videocamere sono presenti anche nei negozi. Chiaramente abbiamo lasciato l’informativa ai dipendenti, ma il sistema di telecamere viene usato solo per la tutela del patrimonio. Non viene usato per il controllo a distanza dei lavoratori. È stato fatto anche l’accordo con Ispettorato Territoriale del Lavoro e con i sindacati.» Precisò Kaiser.
«Ne avrà viste tante maresciallo…» disse Kaiser riprendendo il discorso «Sicuramente avrà tanta esperienza e accettiamo volentieri le sue indicazioni. »
«Adesso ci mettiamo tutti al tavolo e vediamo cosa succede quando le persone si registrano sul sito» Appuntato e brigadiere si misero al computer. L’appuntato inserì i suoi dati. Sul sito c’era l’informativa e i finanzieri la passarono al setaccio. Le finalità di raccolta erano solo 3: marketing, profilazione e customer satisfaction – la STYLE si appoggiava ad un’azienda esterna per le indagini sulla soddisfazione del cliente – ogni finalità aveva la sua spunta. Kaiser sospirò sollevato perché su quel punto aveva insistito molto. “Ogni trattamento deve avere il suo consenso” aveva spiegato all’azienda.
«La sanzione non la fa la Guardia di Finanza» rispose il consulente «Spetta al Garante. Dobbiamo aspettare, Erminio.»
L’Amministratore Delegato annuì, si girò, salutò Giulia e andò a casa. Kaiser lo guardò camminare a capo chino lungo il vialetto in direzione del parcheggio. Uscì anche lui. L’aria era pungente. Si accese una sigaretta elettronica. Guardò il campo vicino all’azienda. Nessun corvo questa volta. Forse quella notte avrebbe finalmente dormito.
Fonte:
Autore: Andrea Chiozzi, CEO di PRIVACYLAB SRL
Libro: Il corvo. Una giornata da dimenticare per Andrea Kaiser.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
GDPR | Solarwinds MSP: strategie di backup e conservazione
Gli MSP ed i fornitori di servizi IT dovrebbero coinvolgere attivamente i propri clienti in merito alla loro strategia di backup e al potenziale impatto che potrebbe avere sulla compliance al regolamento generale sulla protezione dei dati (GDPR) dell’UE. L’attenzione del GDPR sulla protezione dei dati consente a te e ai tuoi clienti di cambiare il modo in cui si progetta il trattamento dei dati e il modo in cui è necessario eseguire il backup e impostare criteri di conservazione, inclusa la capacità di facilitare qualsiasi richiesta di dati. È importante avere queste conversazioni prima che la legge entri in vigore a maggio.
Ecco alcuni argomenti che possono aprire la discussione e potenzialmente portare a una soluzione migliore e più conforme. Questo articolo è stato scritto presupponendo che si stiano elaborando dati personali dell’UE.
1. Stai eseguendo inutilmente il backup di “dati morti”?
Molte organizzazioni eseguono backup giornalieri del sistema completo come best practice, ma se il backup non è sufficientemente intelligente per determinare i file che non sono più necessari (come i file di aggiornamento di Windows applicati), il sistema potrebbe eseguire il backup dei dati che non sono più necessari. Un’altra area di interesse è quando varie unità condivise sul server contengono una moltitudine di file non critici. Entrambe queste cose possono comportare l’uso non necessario di tempo, larghezza di banda e spazio di archiviazione. Per ambienti multi-server di grandi dimensioni, potrebbe esserci l’opportunità di eseguire una serie di processi di pulizia automatizzati per massimizzare l’efficienza del backup e ridurre le dimensioni dei backup giornalieri.
2. Puoi migliorare la procedura di backup?
Anche nel 2018, molte aziende fanno molto affidamento sull’uomo per partecipare al processo di backup. Alcune aziende potrebbero richiedere a un dipendente di inserire un nastro o portare il supporto di backup a casa come un “backup offsite”. A meno che il programma di backup non codifichi i dati, tenere presente che il backup nativo di Windows non è crittografato né compresso. Il tuo cliente è potenzialmente a rischio di esporre i dati personali se i backup vengono persi o rubati. Se ciò si verifica e sei il responsabile del trattamento di tali dati, potresti doverlo segnalare in ottemperanza al GDPR. Sia tu che il tuo cliente potreste dover pagare multe. La soluzione più elegante è un backup locale crittografato combinato con un backup ospitato che crittografa i dati sia in transito che a riposo.
3. Come si faciliterà una richiesta di accesso ai dati di un soggetto interessato secondo il GDPR con i propri backup?
Uno dei diritti fondamentali degli interessati è che possono richiedere l’accesso ai propri dati in qualsiasi momento. Ovviamente, se perdi i loro dati o non riesci ad accedervi, soddisfare una richiesta di accesso sarà impossibile. Si prega di notare che gli interessati hanno diritti aggiuntivi, come cancellazione, portabilità, ecc., in relazione ai loro dati. Mentre qui ci occupiamo solo del diritto di accesso, dovresti considerare questi altri diritti quando crei i tuoi [sistemi di backup].
Facilitare una richiesta di accesso ai dati è forse una delle maggiori preoccupazioni dei programmi di backup in uso oggi. Alcuni tipi di file in determinate località e determinati database possono contenere dati personali. Ad esempio, i file PST di Outlook che si trovano sulle workstation di solito contengono un’abbondanza di dati personali. Inoltre, i database dei salari dei dipendenti, i sistemi di gestione delle relazioni con i clienti, le applicazioni di contabilità e fatturazione e i file di registro del sistema rivolti al cliente devono essere considerati alla luce dei diritti di accesso per i soggetti interessati contenuti nel GDPR.
Per soddisfare le richieste, è necessario riflettere su come strutturare i backup dei dati di un cliente in modo da poter facilitare le richieste di accesso. Una richiesta di accesso può essere abbastanza facile da soddifare utilizzando strumenti di ricerca di terze parti su sistemi live. Tuttavia, se la ricerca potrebbe essere dirompente per le operazioni aziendali, potrebbe essere necessario eseguirla su un backup o un host virtualizzato.
Considerate le seguenti aree in cui è probabile che vengano trovati dati personali:
-
Database di fatturazione: poiché si tratta di un record aziendale di transazioni finanziarie, potrebbe essere necessario conservare tutto per sette o più anni. Il periodo di conservazione del backup del database di fatturazione deve essere comunicato al cliente e allineato ai requisiti normativi o governativi.
-
Database di supporto tecnico: le transazioni nel database possono essere fornite su richiesta di accesso per oggetto. Tuttavia, potrebbe essere ancora necessario conservare i dati nei backup per un periodo di tempo. Dovresti divulgare i tuoi periodi di conservazione per i dati di supporto tecnico al cliente.
-
Database di marketing: il periodo di conservazione del backup del database di marketing deve essere comunicato al cliente. Il periodo di conservazione dovrebbe essere abbreviato per facilitare la rimozione tempestiva delle informazioni dei soggetti interessati.
-
Corrispondenza e-mail: potrebbe essere un processo arduo esaminare e accedere a tutte le e-mail con le informazioni relative all’entità dei dati e redigere i dati personali di altre persone interessate dalla corrispondenza e-mail al fine di rispondere prontamente a questa richiesta.
Chiaramente, le diverse strategie di conservazione dei backup dei dati sovrascrivono le policy e le configurazioni di backup differenziali svolgeranno un ruolo fondamentale nel determinare quali informazioni vengono sottoposte a backup, in che modo viene eseguito il backup e per quanto tempo il backup viene mantenuto.
Gli MSP e i fornitori IT dovranno lavorare a stretto contatto con i propri clienti per determinare la strategia di backup corretta utilizzata e il criterio di conservazione del backup corretto per poter soddisfare le richieste dei soggetti dei dati in GDPR.
Questo documento è fornito solo a scopo informativo e non deve essere considerato come consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) può essere applicato a voi e alla vostra organizzazione. Ti incoraggiamo a collaborare con un professionista legalmente qualificato per discutere di GDPR, come si applica alla tua organizzazione e il modo migliore per garantire la conformità. SolarWinds MSP non fornisce alcuna garanzia, esplicita o implicita, o si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di qualsiasi informazione.
I marchi, i marchi di servizio e i loghi SolarWinds e SolarWinds MSP sono di proprietà esclusiva di SolarWinds MSP UK Ltd. o delle sue affiliate. Tutti gli altri marchi sono di proprietà dei rispettivi proprietari.
Ebook – Sicurezza e documentazione: compliance al GDPR
Quando si verificano i tanto temuti incidenti IT, è fondamentale disporre di due strumenti: una piattaforma di monitoraggio e gestione da remoto (RMM) consente di capire che cosa è andato storto presso il sito del cliente, mentre una piattaforma di automazione dei servizi professionali (PSA) illustra cosa è stato fatto per risolvere il problema. La combinazione di queste due soluzioni consente agli MSP di rispondere rapidamente al problema rilevato. Questo è particolarmente importante nel caso di incidenti di sicurezza in grado di influire negativamente sulle attività dell’impresa e di mettere a repentaglio la conformità alle leggi in vigore, in particolare al regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation).
Compila la form ed effettua il download gratuito dell’ebook per continuare la lettura…
GDPR: Che cos’è il registro dei trattamenti?
Con il nuovo Regolamento Europeo, in vigore dal 25 maggio 2018, tutte le operazioni di trattamento dei dati che vengono effettuate all’interno di un’organizzazione, sia essa un’azienda, un ente o un’associazione, dovranno essere tracciate. E per farlo il titolare del trattamento e gli eventuali responsabili sono chiamati a utilizzare uno strumento: il registro dei trattamenti.
Cosa deve contenere il registro dei trattamenti?
Sul registro andranno indicate tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti dal nuovo Regolamento Europeo siano costantemente rispettati.
Chi è obbligato a tenere il registro dei trattamenti?
L’articolo 30 comma 5 del General Data Protection Regulation non definisce obbligatoria la tenuta di questo registro ed esonera le imprese composte da meno di 250 dipendenti ad eccezione, però, di quelle che effettuano un trattamento che può rappresentare un rischio per i diritti e le libertà dell’interessato o che coinvolge in modo non occasionale dati particolari. Solo se i trattamenti a rischio non vengono effettuati allora il numero dei dipendenti diventa determinante per l’obbligatorietà della tenuta del registro. Va da sé che tutte le organizzazioni che hanno dei dipendenti di cui trattano, cosa certa, anche dati sanitari e quindi particolari, saranno obbligate a fare il registro dei trattamenti.
I diritti degli interessati
I diritti e le libertà degli interessati non riguardano solo la privacy ma anche il divieto di discriminazioni, la libertà di espressione e di pensiero, il diritto alla libertà di coscienza e di religione e la libertà di movimento. Si vanno quindi a toccare temi che riguardano la profilazione, come i dati pubblici raccolti durante la creazione di profili social, i sistemi di monitoraggio della rete sul comportamento degli utenti e quelli di geolocalizzazione.
In ottemperanza al GDPR 16/679 occorre valutare la “rischiosità” del trattamento e comprenderne il carattere occasionale o meno o se vengono inclusi dati di categorie particolari o relativi a condanne penali e a reati.