Dark Light

Perché essere compliant con la normativa privacy deve essere una priorità assoluta per le aziende italiane?

Il Regolamento Europeo n. 2016/679 sulla protezione dei dati personali (“GDPR”) che entrerà in vigore il prossimo 25 maggio 2018 ha, sostanzialmente, ridisegnato la complessa normativa in tema di privacy, imponendo a tutti i soggetti che trattano dati personali di effettuare considerevoli modifiche alla propria organizzazione.

Essere compliant con la normativa privacy e le modifiche introdotte con il GDPR:

  • Inasprimento generalizzato delle sanzioni che possono arrivare a 20 milioni di euro o al 4% del fatturato annuo su scala mondiale;
  • Mutamento di prospettiva – dall’analiticità del vecchio codice privacy ( che indicava puntualmente gli adempimenti da eseguire ) si passa al nuovo regime di autoresponsabilità. Tutte le azioni, decisioni del Titolare del trattamento devono essere motivate e documentate;
  • Sicurezza dei dati – Il GDPR impone l’adozione di misure di sicurezza adeguate al rischio. Per essere in grado di dimostrare di aver adottato correttamente le misure di sicurezza, è necessario che siano state effettuate approfondite attività di valutazione dei rischi connessi al trattamento dei dati personali. [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
  • Privacy Officer – Il GDPR impone che, in alcuni casi, sia nominato obbligatoriamente il Responsabile della Protezione dei Dati (“DPO”). Quando il DPO non è obbligatorio, ma non è nominato occorre motivare espressamente tale scelta aziendale [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
  • Registri delle attività di trattamento – Il GDPR impone alle imprese con più di 250 dipendenti di adottare un registro dei trattamenti ( che contiene dati riepilogativi sui trattamenti effettuati ). [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
  • Data Breach – Le violazioni dei dati personali ( ad es., conseguenti ad attacco informatico ) devono essere tempestivamente comunicate all’Autorità Garante e, nei casi più gravi, anche agli interessati del trattamento. [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];

 


Essere compliant con la normativa privacy e le opportunità:

  • Ad oggi gli asset più preziosi delle aziende sono costituiti dai DATI, in senso lato;
  • Essere compliant con il GDPR può costituire l’occasione per assicurare la migliore protezione ai propri DATI;
  • La valutazione dei rischi può costituire l’occasione per verificare eventuali falle nel proprio sistema di sicurezza e reagire di conseguenza.

Un caso pratico: Cryptolocker

Di recente, le aziende sono state colpite dal virus Cryptolocker. Si trattava di un ransomware, ossia di un programma maligno che cifrava tutti i dati presenti su un elaboratore, impedendo qualsiasi attività all’utilizzatore della postazione, fino al momento in cui non avesse pagato un determinato importo come “riscatto”.

Molte aziende sono state colpite dal virus ed hanno subito ingenti danni, derivanti in primo luogo da:

  • Assenza di backup (sono state costrette a “pagare il riscatto”)
  • Assenza di backup aggiornati (in mancanza del pagamento, alcuni dati sono stati irrimediabilmente persi)
  • Mancata adozione di procedure efficienti di backup e restore dei dati (le aziende hanno impiegato intere giornate a ripristinare i sistemi informatici)

Ebbene, se queste Aziende fossero state compliant con il regolamento Europeo n. 2016/679 probabilmente non avrebbero subito tali danni.


Questo il ragionamento da effettuare

RISCHIOCAUSAREAZIONERISOLUZIONE?
Perdita dei datiDipendenti che aprono email “sospette”Formazione ai dipendentiNO, i comportamenti umani pericolosi non possono essere eliminati
Perdita dei datiImpossibile impedire ai dipendenti di aprire email “sospette”Adottare sistemi di backupNO, i backup devono essere effettuati di frequente
Perdita dei datiBackup non effettuati con regolaritàEffettuare backup quotidiani in automaticoNO, occorre anche testare la tempistica del ripristino dei sistemi
Perdita dei datiBackup effettuati, ma non testatiEffettuare a scadenze regolari dei test per il ripristino della disponibilità dei dati e dei sistemiSI, in questo caso il virus può essere neutralizzato.

Questo è un esempio di come il rispetto di una previsione normativa, l’art. 32 del regolamento Europeo n. 2016/679, che impone di adottare misure di sicurezza adeguate al rischio, avrebbe consentito all’Azienda:

  • Di non rischiare di incorrere nelle sanzioni amministrative;

  • Di evitare di subire i danni economici conseguenti ad un’infezione causata dal virus cryptolocker.

Stay tuned

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Related Posts
AVVOCATO,

CERCHI SENTENZE SU CASI ANALOGHI AL TUO?

CASSAZIONE.NET 4.0 L'EVOLUZIONE DELLO STUDIO LEGALE
PROVA GRATIS
close-link
Avvocato, vuole gestire tutta la sua professione con un'App?....
PROVA  ORA GRATIS
close-image