GDPR: gli strumenti tecnici per allinearsi

Naviga SWZ: Home Page » Articoli
Articolo del 18 Maggio 18 Autore: Coretech
Categoria: windows
Inserisci un commento sul forum Commenta la News sul Forum

In questi mesi abbiamo lavorato molto allo studio del tema GDPR.

Abbiamo girato da cima a fondo tutte le informazioni pubblicare in rete, quelle a pagamento…manuali, white paper, corsi, eventi e libri.
Il tema è complesso perché il regolamento lascia adito ad una certa interpretazione su alcuni punti e questo apre a scenari ancora da definire.

Ci siamo rifatti ai requirement dello standard ISO 27001 che è la norma che definisce i requisiti per impostare e gestire un sistema di gestione e sicurezza delle informazioni ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Il GDPR non impone di certificare la propria azienda con lo standard ISO 27001 ma di fatto questo è il sistema più vicino e rispondente alla direttiva che entrerà in vigore dal 25 Maggio.

Ad ogni modo il nostro obiettivo era di riuscire a realizzare un documento Pratico e applicabile.

Il GDPR in buona sostanza si articola in due grossi blocchi: quello documentale e procedurale e quello tecnico-pratico, qui descritto.

L’articolo relativo alla parte documentale e procedurale ancora non lo abbiamo terminato!

GDPR: gli strumenti tecnici per allinearsi - immagine 1
Cosa dice il GDPR in breve

Il GDPR dedica un solo articolo, l’Articolo 32 (il cui primo comma, quello rilevante, viene in seguito riportato) e un “considerando” (note esplicative poste a inizio documento) al tema della protezione dei sistemi; il principio di accountability, o di responsabilità, governa la scelta delle misure tecniche da intraprendere che sarà fatta dal titolare del trattamento dati e dal responsabile del trattamento dati, eventualmente coadiuvati dal Responsabile Protezione Dati (RPD) se presente.
Misure aggiuntive possono essere trovate nell’Allegato B del d.lgs.196/2003, il “Codice della Privacy”, ma che non differiscono nella sostanza da quanto qui riportato. Il documento è consultabile a questo indirizzo.

Articolo 32
Sicurezza del trattamento 

Tenendo conto dello stato dell´arte e dei costi di attuazione, nonché della natura, dell´oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
1. la pseudonimizzazione e la cifratura dei dati personali;

2. la capacità di assicurare su base permanente la riservatezza, l´integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

3. la capacità di ripristinare tempestivamente la disponibilità e l´accesso dei dati personali in caso di incidente fisico o tecnico;

4. una procedura per testare, verificare e valutare regolarmente l´efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 
Inoltre viene specificata la possibilità di aderire a “codici di condotta” o meccanismi di certificazione per dimostrare la conformità ai requisiti qui riportati.

Il “considerando” 83 espone uno spirito proattivo in linea con il principio di responsabilità (accountability) di cui il GDPR è impregnato.


Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura.

Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell´arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.

Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l´accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Cerchiamo di sviluppare, partendo da queste linee guida, un percorso che includa gli strumenti tecnici necessari a soddisfare le esigenze del GDPR in quanto a protezione dei dati, con particolare enfasi sui prodotti proposti da CoreTech.



[  [1] 2  3  4  5     Successiva » ]
Pagine Totali: 8

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter