GDPR: Sicurezza informatica, nuova organizzazione e non solo

25 gennaio 2018

General Data Protection Regulation – 25 Maggio 2018

Il nuovo Regolamento n. 679/2016 sulla privacy denominato General Data Protection Regulation o più semplicemente GDPR, indica le linee da seguire sulla gestione e la protezione dei Dati Sensibili. Manca poco alla scadenza del 25 Maggio 2018.

Il GDPR prevede che vengano effettuate delle valutazioni interne per il calcolo e la documentazione d’impatto del rischio, sulla base delle infrastrutture e dei sistemi esistenti e che venga applicato il principio del “Privacy by design e by default”: ogni nuovo sistema deve essere pensato già alle basi per rispettare il regolamento.

Il regolamento prevede che in caso di violazione di uno dei trattamenti, entro 72 ore debba essere informata l’autorità competente, spiegando e documentando quelle che sono le procedure e le azioni in atto e quelle da intraprendere in caso di violazione dei dati.

Il GDPR regolamenta anche il diritto all’oblio, quindi il diritto dei singoli interessati dal trattamento, alla cancellazione dei propri dati e la portabilità di questi tra vari sistemi e tra i vari paesi della comunità Europea e al di fuori di essa.

Altro elemento introdotto è quello della figura del “Data Protection Officer” (DPO), obbligatorio nella pubblica amministrazione e nelle aziende private che trattano dati a rischio o su larga scala. Il DPO dovrà essere un manager/consulente con competenze sia normative ma anche in ambito di sicurezza informatica. Il DPO potrà essere una figura interna oppure un esterno.

Riassumendo per potersi adeguare al meglio al GDPR sotto il profilo della privacy informatica, l’azienda deve poter identificare con precisione i dati trattati, identificare gli incaricati al trattamento di questi, adottare delle politiche per la protezione dei dati trattati, adottando diversi tipi di procedure.

Asset comportamentali, come: