GDPR: Guida alla Conformità

Questo articolo ha scopo unicamente informativo. In nessuna misura può essere considerato sostitutivo di un consulto legale.

Leggi anche:

• GDPR e backup: le best practice
• GDPR e cifratura

Cos’è il GDPR?

Il GDPR (General Data Protection Regulation) è un regolamento generale dell’Unione Europea che entrerà in vigore il 25 maggio 2018 e avrà effetto su qualsiasi azienda operante su territorio UE o avente clienti cittadini europei. L’obiettivo del regolamento è rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea, sia all’interno che all’esterno dell’UE.

Con il GDPR viene sensibilmente ampliata la definizione di ciò che costituisce i dati personali e privati, fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale.

Il GDPR richiede che le aziende ottengano il consenso specifico di una persona prima di poterne utilizzare i dati personali e devono altresì onorare, tra gli altri, il “diritto all’oblio”, inteso come il diritto ad avere i dati eliminati su richiesta, quando previsto.

Definizioni e ruoli

Il GDPR descrive le seguenti definizioni e ruoli:

• Soggetto interessato: Un cittadino della UE identificabile tramite i propri dati personali.
• Titolare del trattamento: Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività.
• Responsabile del trattamento: Un’attività commerciale che tratti dati personali per conto del titolare del trattamento. Gli esempi includono aziende che offrono servizi cloud o di hosting di applicazioni o storage.
• Dati personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile. Includono nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale, ecc.
• Violazione dei dati personali: La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’”autorità di controllo” entro 72 ore dal momento in cui ne sono venute a conoscenza.
• Diritto alla cancellazione: Il diritto di ogni cittadino UE di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup.

Obblighi chiave previsti dal GDPR

Il GDPR prevede che i dati personali possano essere mantenuti solo fino a quanto richiesto dallo scopo iniziale di raccolta e che debbano essere protetti in modo appropriato.

Secondo l’art. 32, sia il titolare che il responsabile del trattamento devono implementare misure adeguate, sia tecniche che a livello organizzativo, per garantire l’integrità e la riservatezza dei dati, la resilienza dei sistemi e la possibilità di ripristinare l’accesso in tempi brevi, incluse la cifratura e la pseudonimizzazione. Le procedure e le tecnologie di backup sono quindi chiamate in causa e diventano un requisito imprescindibile per la conformità.

Il GDPR si concentra sul concetto di responsabilità dove sono le aziende a dover “dimostrare” la conformità con i principi di tutela dei dati personali. Questo comprenderà l’implementazione di processi trasparenti e dimostrabili oltre ad un approccio proattivo.

Conformità al GDPR e backup

Fatte le dovute premesse, è giunto il momento di discutere di come garantire la conformità al GDPR e parlare del ruolo dei backup all’interno di tale attività. La compliance passa per 5 step fondamentali:

• Conoscere i propri dati e mapparne la posizione
  Il primo passaggio riguarda l’analisi e l’individuazione di tutti i processi di raccolta e trattamento dei dati personali, al fine di mappare la posizione di conservazione degli stessi, sia qualora vengano conservati in proprio o affidati a società terze. La mappatura in questione sarà integrata nella documentazione.
• Regolamentare l’accesso
  Completata la mappatura dei dati è fondamentale capire chi ha accesso ad essi e per quali ragioni. L’audit ti consentirà di individuare potenziali criticità e anche in questo caso le informazioni raccolte saranno preziose per la redazione della documentazione. Non dimenticare di considerare gli amministratori IT ed eventuali soggetti esterni.
• Proteggere i dati
  La protezione dei dati va assicurata utilizzando ogni sistema idoneo come software anti-malware, firewall, policy di sicurezza, formazione del personale e, naturalmente, con il mantenimento di backup. Uranium Backup, grazie alla capacità di copiare sia file e cartelle che database, macchine virtuali, immagini di sistema e cassette di posta Exchange, ti consente di proteggere tutti i dati personali presenti nell’azienda. Trovi su questa pagina le best practice per una strategia di backup GDPR compliant.
• Documentazione
  Il GDPR pone a carico del titolare e del responsabile del trattamento l’onere di dimostrare di aver messo in atto adeguate misure a tutela dei dati personali, mantenere un’approfondita documentazione dei processi è quindi fondamentale. A questo dobbiamo aggiungere l’obbligo di segnalazione alle autorità competenti di qualsiasi violazione dei dati (entro 72 ore da quando sono scoperte) e quello di cancellazione dei dati su richiesta (diritto all’oblio), che vale anche per i backup.
• Aggiornarsi, sempre
  Le aziende sono organismi viventi, in continua evoluzione e lo stesso dicasi per il contesto nel quale operano. Per garantire la tutela dei dati personali non basta un approccio passivo, è necessario essere pro-attivi ed adeguare le misure di sicurezza alle sfide poste dall’integrazione di nuove tecnologie e dalle potenziali minacce che potrebbero emergere.