Utilizziamo Cookies sulla nostra pagina web, per rendere la vostra visita più efficiente e per potervi offrire maggiore semplicità di utilizzo. Cliccate per favore su “accetta"! Potete trovare maggiori informazioni nella nostra Informativa.

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 
COS’E’ IL GDPR
Il GDPR è il nuovo regolamento generale sulla protezione dei dati la cui proroga per l’entrata in vigore terminerà il giorno 25.5.2018.

IL REGOLAMENTO

Il regolamento riguarderà tutte le aziende e non sarà facoltativo, ma ‘toccherà’ le aziende ognuna in modo diverso.
Il regolamento è molto chiaro in relazione alle responsabilità, il Titolare è e sarà sempre ritenuto responsabile di aver adottato tutte le misure adeguate per la protezione dei dati trattati dalla propria Azienda.
Sarà suo l’onere di dimostrarlo mediante il ‘nuovo’ DPS, ovvero il documento di analisi del rischio.
Per chi non si adegua entro la data prevista sono state previste sanzioni anche molto importanti.
E’ previsto, tra le altre cose, un registro per i data breach subiti (violazione informatica) e che il Titolare è obbligato ad ‘autodenunciarsi’ entro 72 ore dal fatto.
Essendo oggi la quasi totalità dei dati trattata in modalità digitale, il regolamento introduce di fatto una serie di misure di qualità e di sicurezza (che necessiteranno di nuove misure informatiche) relative alla protezione ed alla resilienza dei dati conservati all’interno dei sistemi informativi.

ATTORI

A questo processo partecipano diversi attori:

  • Il cliente (Voi), ovvero la dirigenza/il titolare, da ora in poi indicato come ‘Cliente’
  • (Talvolta il titolare può essere sostituito dal responsabile Privacy/Quality Aziendale)
  • La società fornitrice di servizi IT , da ora in poi indicato come ‘Consulente IT’
  • La società fornitrice di servizi consulenziali Privacy/Quality, da ora in poi indicato come ‘Consulente GDPR’

Tali aziende, potrebbero (e dovrebbero) essere in grado di fornire servizi specifici GDPR:

  • asset and risk analysis (analisi del rischio)
  • vulnerability & penetration test (esecuzione test di vulnerabilità interni ed esterni)
  • remediation plan (piani di ‘rimedio’ al fine di conseguire la conformità)
  • broker assicurativi (per l’assicurazione del rischio cyber)

IL PROCESSO

Possiamo idealmente dividere il processo in 3 fasi.

FASE 1 – RACCOLTA DELLE INFORMAZIONI

ATTORI COINVOLTI
Il Cliente, il consulente IT, il consulente GDPR.

ATTIVITA’
– Il Cliente consegnerà al Consulente GDPR tutta la documentazione relativa a:

  • elenco dati trattati dall’azienda e modalità del trattamento
  • eventuale documentazione quality/privacy già presente
  • procedure di gestione dei dati cartacee, digitali.

– Il Consulente IT consegnerà al Consulente GDPR tutta la documentazione relativa a:

  • ogni misura IT applicata relativa alla salvaguardia e d alla protezione dei dati sia sui sistemi server, cloud, e cliente.
FASE 2 –ANALISI
 
ATTORI COINVOLI
Il consulente IT, il consulente GDPR, eventuali consulenti terzi per l’esecuzione delle attività di test delle vulnerabilità.
 
ATTIVITA’
– Verranno eseguiti test di valutazione delle vulnerabilità dei sistemi sia da attacchi provenienti dall’interno che dall’esterno della rete informatica del cliente
– I dati raccolti in questa e nella fase precedente verranno analizzati e verrà presentati:
  • i risultati dell’analisi con evidenza di un livello di rischio (relativo al trattamento dei dati per il Cliente),
  • un piano di ‘remediation’ ovvero opzioni di rimedio per le misure giudicate non adeguate (a 360° ovvero cartacee, procedurali, legali e informatiche),
  • il Cliente, con il supporto delle altre terze parti, ed in base ai risultati dell’analisi, deciderà quali misure adottare.
 
FASE 3 – IMPLEMENTAZIONE
 
ATTORI COINVOLTI
Il Cliente, il consulente IT, eventuali consulenti terze parti
 
ATTIVITA’
– Nomina di un DPO (interno od esterno), nel caso in cui la fase di analisi evidenzi la necessità della nomina per la Vs. azienda
– Esecuzione e messa in operatività di tutte le misure (a tutti i livelli, ovvero procedurale, legale e tecnico-informatico ) emerse e definite quali idonee  dal processo di analisi della fase 2
– Redazione di tutta la documentazione relativa
 
Tecnologie Informatiche Srls è in grado di supportarVi in tutto i processi: solo nel caso in cui la nostra azienda sia manutentore della rete riteniamo non sia corretto eseguire determinate attività, per esempio risk analisys, penetration test e nomina a DPO, al fine di evitare situazioni di conflitti di interessi.
 
Roberto Scarcella
Commento nr. 1
2
Nascondi Form Commento

1000 Caratteri rimanenti


Tecnologie Informatiche Srls

Via Cesare Battisti 3

89029 Taurianova (RC)

PI/CF 03087300809  REA RC - 208942

Tel/Fax (+39) 0966 447205

Iscriviti alle Newsletter

Seguici su

­