L’analisi dei rischi per la privacy è una delle questioni che più sta togliendo il sonno alle aziende ed alle istituzioni pubbliche dopo l’entrata in vigore del Gdpr

Partiamo dalla normativa. L’art. 32 del Regolamento Generale per la Protezione dei Dati (il cosiddetto GDPR), riportato nel seguito per facilità di consultazione, indica gli obblighi per il titolare e per il responsabile del trattamento, nonché i requisiti necessari per trattare dati personali:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio che comprendono, tra le altre, se del caso:

 

    la pseudonimizzazione e la cifratura dei dati personali;

    la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

    la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

    una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

Per rispondere alle richieste della normativa rivolgetevi ai nostri esperti!

A titolo semplificativo elenchiamo alcune delle misure adottate dai nostri amministratori di rete:

 

classificare analiticamente le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati personali comuni e sensibili, predisponendo e curando ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei dati personali;

individuare per iscritto il/i soggetto/i incaricato/i della custodia delle parole chiave per l’accesso al sistema informativo e vigilare sulla sua/loro attività;

individuare per iscritto gli altri soggetti, diversi dall’/dagli incaricato/i della custodia delle parole chiave, che possono avere accesso a informazioni che concernono le medesime;

impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali effettuati con strumenti elettronici;

impostare e gestire un sistema di autorizzazione per gli incaricati dei trattamenti di dati personali effettuati con strumenti elettronici;

adottare un sistema idoneo alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici; le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità, adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Tali registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, non inferiore a sei mesi;

assicurare e gestire sistemi di salvataggio e di ripristino dei dati (backup/recovery) anche automatici, nonché approntare adeguate misure e/o sistemi software di salvaguardia per la protezione dei dati personali (antivirus, firewall, IDS ecc.);

impartire a tutti gli incaricati istruzioni organizzative e tecniche che prevedano le modalità di utilizzo dei sistemi di salvataggio dei dati;

adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi;

organizzare i flussi di rete, la gestione dei supporti di memorizzazione, nonché la verifica di eventuali tentativi di accessi non autorizzati al sistema provenienti da soggetti terzi, quali accesso abusivo al sistema informatico o telematico, frode, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici e telematici;

predisporre un piano di controlli periodici, da eseguire con cadenza almeno semestrale, atti a verificare l’efficacia delle misure di sicurezza adottate in azienda/studio professionale;

coadiuvare, se richiesto, il titolare del trattamento nella predisposizione e/o nell’aggiornamento e/o nell’integrazione di tutti i documenti necessari per il rispetto del Regolamento Europeo in materia di privacy.

 

Questa figura è uno strumento importante sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento. È compito dell’amministratore di sistema monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati di cui sopra, mantenendo aggiornati i supporti hardware e software e, se necessario, comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza, in proporzione alla tipologia e alla quantità dei dati personali trattati

 

Siamo sempre vicino al cliente in tutte le fasi del processo:

  • Verifica della situazione dell’infrastruttura hardware e software
  • Consulenza sulle soluzioni da adottare
  • Programmazione delle operazioni da svolgere a partire da quelle più critiche
  • Interventi tempestivi nelle condizioni di emergenza
  • Analisi continua nella situazione di normalità