Salvaguardare i dati aziendali: le misure di sicurezza per la protezione dei dati.
E’ ormai giunta la scadenza normativa del 25 maggio 2018, data del recepimento del GDPR negli stati membri. Oggi trattiamo l’ultimo argomento saliente prima di concludere con il decimo passo: Le Misure di Sicurezza per la Protezione del Dato.
Questo perché da quest’aspetto sono interessate tutte le aziende che immagazzinano e gestiscono dati degli utenti, tutti i produttori software che offrono strumenti di backup e cifratura dei dati, oltreché gli apparati necessari per proteggere le reti ed i sistemi operativi, come antivirus e firewall.
L’art. 32 del GDPR stabilisce che il titolare ed il responsabile del trattamento debbano mettere in atto delle misure tecniche ed organizzative adeguate al rischio tenendo conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà delle persone fisiche per garantire un livello di sicurezza adeguato.
Per inquadrare meglio tale concetto, il GDPR ha indicato alcune ipotesi di misure di sicurezza ritenute idonee:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Dei suddetti punti, due sono certamente e strettamente connessi alle procedure di backup. Il responsabile del trattamento dei dati, ovvero il soggetto che immagazzina dati sensibili di cittadini UE, deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare l’accesso agli stessi in caso di attacchi hacker o guasti tecnici. In parole povere, questo significa avere delle solide procedure di backup dati che garantiscano un adeguato livello di sicurezza anche in riferimento al contenuto del backup stesso e procedure di restore che consentano il ripristino dei dati che possono essere persi, ad esempio, a seguito di un malfunzionamento dovuto a errore umano, installazioni software o hardware non andate a buon fine oppure corruzioni di sistema per interruzioni elettriche.
E per chi lavora con i cloud?
il GDPR non effettua una sufficiente ed approfondita ricognizione sul trattamento congiunto di dati che avviene nei servizi basati sul cloud, indispensabile per garantire le responsabilità in relazione alla sicurezza del dato e alle eventuali violazioni, soprattutto quando si tratta di public cloud computing, infrastruttura cioè di proprietà di un cloud provider che viene messa a disposizione di più clienti (es. gmail e yahoo)
In alcuni casi peraltro questi cloud sono dislocati in Paesi extra UE e quindi non soggetti alla nostra normativa.
Diventa quindi molto importante, per tutte le misure di protezione del dato e per gli strumenti utilizzati dalle aziende per la gestione dei dati, fare un’analisi in merito a quali siano le soluzioni più utili per cost/benefici per la propria attività.
Contattaci per approfondire meglio gli adempimenti cui sei soggetto. Ricorda che il primo sopralluogo è gratuito.
Non perderti per strada, fai il prossimo passo!! Buona Lettura.
