25 Maggio 2018 GDPRGDPR è l’acronimo di General Data Protection Regulation, entrerà in vigore a decorrere dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.

Cosa si intende per dati personali?
Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica. Fra i dati personali ci sono: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi ip del pc.

Chi deve preoccuparsi di mettersi in regola?
Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono i server fuori dal territorio europeo.

Quali sono i punti importanti introdotti dal GDPR di Maggio 2018?
• L’informativa sulla privacy deve essere estremamente chiara, scritta con un linguaggio comprensibile, soprattutto per quanto riguarda come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
• Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
• In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
• È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
• Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.

Quali sanzioni sono previste per chi non ottempera al regolamento?
Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. La violazione rientra nel codice penale.

Occorre effettuare l’analisi dei rischi?
È fortemente consigliato un documento programmatico sulla sicurezza, che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.

In che modo è possibile proteggere con sicurezza i dati personali?
• utilizzare software originale e proveniente da fonti sicure;
• effettuare regolarmente gli aggiornamenti del sistema operativo e dei software;
• dotarsi di un buon software antivirus che proponga aggiornamenti frequenti;
• utilizzare vpn cifrate per collegarsi da remoto agli applicativi aziendali;
• utilizzare il certificato https per il sito web e ed il commercio elettronico;
• proteggere in modo adeguato l’accesso Wi-Fi aziendale;
• dotarsi di un efficace filtro per le minacce che arrivano via email;
• dotarsi di un IPS (Intrusion prevention system);
• Implementare un sistema DLP quando più dipendenti dell’azienda maneggiano dati sensibili;
• effettuare controlli periodici sull’efficienza della sicurezza informatica.