Con l’entrata in vigore del GDPR ci sono molte cose da fare. Gli adempimenti del GDPR sono ormai realtà e obbligo già da diversi mesi, ma sono molte le aziende che hanno ancora dubbi e timori sulla corretta attuazione degli adempimenti e sul pieno rispetto degli obblighi di legge.
Del resto si tratta di una normativa "monumentale", un vero pilastro destinato a cambiare radicalmente l'approccio alla gestione della privacy e dei dati personali, la cui attuazione presenta qualche inevitabile complessità e richiede estrema attenzione.
È per questo che abbiamo voluto stilare un vademecum di 7 azioni, 7 cose da fare per il GDPR, fortemente raccomandate per la gestione, l'aggiornamento e il monitoraggio della Data Protection ICT aziendale secondo normativa Reg. EU n. 679/16 (GDPR).
GDPR: 7 cose da fare per la Data Protection ICT
1. Verifica e revisione annuale dei report Data Protection Impact Assessment (DPIA), registro trattamento, politiche e procedure di sicurezza ICT.
La "valutazione d'impatto sulla protezione dei dati" o "DPIA - Data Protection Impact Assesment" è un processo che serve a descrivere un trattamento di dati personali, a valutare la sua necessità e la proporzionalità e a gestire gli eventuali rischi da esso derivanti per i diritti e le libertà delle persone attraverso una valutazione del livello del rischio. Il DPIA è dunque uno strumento fondamentale per i titolari e i responsabili del trattamento, anche ai fini dell'attuazione dell'approccio alla protezione dei dati personali previsto dalla normativa e definito dall'accountability principle.
Il Registro dei trattamenti è lo strumento che consente di tenere traccia delle operazioni effettuate sui dati personali degli interessati. Effettuare verifiche annuali su questi aspetti consente di determinare se quanto previsto dalla normativa sia stato effettivamente svolto e se ciò sia avvenuto nel modo corretto, per porre rimedio prima che le eventuali criticità emergano, in sede di controllo o a seguito di qualche problema
2. Verifica annuale delle attività degli amministratori di sistema (AdS) con stesura report.
Gli AdS - Amministratori di Sistema sono i soggetti preposti alla sicurezza, alla gestione e alla manutenzione di banche dati, sistemi e infrastrutture informatiche. Verificare la loro attività consente di allineare il loro lavoro con gli adempimenti e gli accorgimenti previsti dalla normativa.
3. Verifica trimestrale, con stesura report, della sicurezza offerta dai siti web e dai punti di accesso alla rete aziendale corrispondente ai server o ai dispositivi censiti e dotati di IP pubblici statici.
Non basta garantire la sicurezza attraverso il monitoraggio e i presidi di controllo e protezione. Per avere davvero la situazione sotto controllo è necessario che siano previsti controlli periodici e che i risultati di tali verifiche siano riportati in appositi report, che siano di supporto per eventuali future anomalie e che ci aiutino a capire quando e perché si sono verificate.
4. Servizio di SecureBox per Intrusion Detection System (IDS) con monitoraggio costante della rete interna aziendale e Vulnerability Assessment.
Strumento fondamentale, sia in ottica di sicurezza che in termini di adempimenti GDPR, il VA - Vulnerability Assessment è un'analisi di sicurezza volta a rilevare tutte le possibili vulnerabilità della rete, dei sistemi e delle applicazioni aziendali, anche in ottica di intrusione.
5. Aggiornamento annuale del report di censimento dispositivi che accedono alla rete interna
L'accesso alla rete aziendale da parte di dispositivi aziendali e personali deve essere attentamente monitorato e i dispositivi devono essere censiti. Una verifica periodica consente di verificare che non ci siano intrusioni e il report annuale ci permette di comprendere l'evoluzione delle esigenze della rete, sia in termini di infrastruttura che, soprattutto, di sicurezza.
6. Segnalazione di criticità riscontrate nei sistemi ICT per organizzare eventi correttivi
Ogni piccola criticità dei sistemi ICT può rappresentare un campanello d'allarme per la sicurezza e, pertanto, l'opportuna segnalazione consente di gestire la correzione dei problemi nel modo migliore, con uno sguardo che va oltre il singolo evento o episodio e che si concentra sugli aspetti legati alla sicurezza, oltre che al funzionamento del sistema.
7. Supporto per analisi post-incidente in caso di data breach con supporto alla raccolta della documentazione e stesura report per eventuali comunicazioni al Garante.
A seguito di un incidente, con conseguente compromissione dei dati, la meticolosa raccolta della documentazione può fare la differenza, sia in termini di riparazione del danno che per la gestione dei rapporti con il Garante.
7 azioni per mantenere la compliance
Queste sette azioni mettono quanto più possibile al sicuro l'azienda e la sua capacità di gestire e proteggere i dati che le sono affidati. Sebbene non sia mai possibile avere un livello di sicurezza che ci tuteli al 100%, infatti, disporre di un protocollo scrupoloso e di buone pratiche come queste ci consente di affrontare con serenità l'ordinario e lo straordinario, per complesso e imprevedibile che possa essere. Approfondisci il tema del GDPR e scopri come TT Tecnosistemi può supportarti in ogni singola fase di assessment tecnologico, per proteggere la tua azienda e mantenere la compliance.