craon-azienda-informatica-sviluppo-software-gdpr

General Data Protection Regulation – GDPR

GDPR è l’acronimo di General Data Protection Regulation, un regolamento europeo sulla protezione dei dati sensibili in vigore dal 25 maggio 2018.
Craon, da sempre in prima linea sulle tematiche IT e sulla sicurezza informatica, si pone come partner indispensabile per le aziende che devono uniformarsi agli standard imposti dalla normativa dell’Unione Europea.
Per poter assolvere agli obblighi sanciti dal GDPR ogni azienda che tratta dati sensibili deve adottare misure di data governance.Craon accompagna le aziende fornendo assistenza, progettazione di misure sicure per il backup in cloud dei dati, implementazione delle infrastrutture e monitoraggio attraverso prove d’intrusione e QSA, crittografia dei dati e formazione del personale aziendale.

cosa è

adottato
aprile 2016

in vigore
maggio 2018

E’ un Regolamento con il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti nell’UE, sia all’interno che all’esterno dei suoi confini. Gli obiettivi principali sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa sulla privacy.

i protagonisti

persona fisica

Proprietario dei dati personali

controller

Titolare del trattamento dei dati

processor

Responsabile del trattamento dei dati

supervisory authority

Garante per la protezione dei dati personali

european data protection (edpb)

Commissione Europea per la protezione dei dati

data protection office (DPO)

Responsabile della protezione dei dati

punti chiave

diritti degli utenti

Essere informati sui motivi che richiedono la comunicazione dei propri dati e sulle modalità del loro utilizzo.
Portabilità dei dati (possibilità di accedere gratuitamente a tutti i dati raccolti e di trasferirli ad altri fornitori di servizi.
Richiedere e ottenere con facilità la modifica o cancellazione dei propri dati.
Essere informati nel caso di una violazione dei propri dati personali.
Avere maggiori garanzie sull’applicazione delle norme e sul trasferimento dei propri dati al di fuori dell’UE.

doveri delle aziende

Dimostrare di avere ricevuto un consenso esplicito per tutti i dati personali raccolti.
Utilizzare i dati personali degli utenti in modo trasparente e appropriato.
Preservare i dati personali dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dall’accesso e dalla divulgazione non autorizzata.
Adeguarsi alla normativa tramite misure di data governance che includano documentazione dettagliata, registrazione e valutazione continua del rischio.
Notificare entro 72 ore qualsiasi violazione dei dati.

chi è coinvlto?

Qualsiasi organizzazione, in qualsiasi Paese, che raccoglie, conserva o tratta i dati personali di residenti dell’Unione Europea.

quali sono le sanzioni?

Fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale dell’anno precedente.

cosa fare?

Per assolvere agli obblighi sanciti dal GDPR, ogni azienda che tratta dati sensibili deve:

1

Assessment

Effettuare un assessment a livello:
organizzativo, policy, processi, tecnologico

2

Analisi del rischio

Analizzare le vulnerabilità e determinare i possibili rischi a livello:
organizzativo, policy, processi, tecnologico

3

Valutazione del rischio

Adottare le MISURE ADEGUATE per la riduzione del rischio identificato (Il GDPR non identifica misure minime)

4

Attuare le misure adeguate

Implementare le misure di sicurezza a livello:
organizzativo, policy, processi, tecnologico

5

Formazione

Sensibilizzare e formare il personale che partecipa ai trattamenti e alle connesse attività di controllo

6

Aggiornamento periodico

I primi 5 step vanno ripetuti periodicamente (su base annuale)

Vuoi avere maggiori informazioni ?

hai bisogno di una consulenza per realizzare i tuoi progetti?