Pubblicato l’elenco delle tipologie dei trattamenti soggetti al DPIA (valutazione di impatto sulla protezione dei dati)
Lo scorso novembre è stato pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018 “l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” Con questo provvedimento (n. 467 dell’11 ottobre 2018), l’Autorità Italiana per la Protezione dei Dati Personali individua così delle tipologie di trattamenti che NECESSARIAMENTE obbligano il “Titolare del trattamento” ad effettuare una Valutazione d’impatto (DPIA) sulla protezione dei dati trattati, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 (testo in Italiano del gruppo di lavoro art. 29, scaricabile per gli utenti registrati ) e che in taluni casi “un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati” (cfr. WP 248, rev. 01, pag. 11). Inoltre, come indicato anche dal Garante stesso, tale elenco, NON è esaustivo e potrà essere ulteriormente modificato o integrato anche sulla base delle risultanze emerse nel corso della prima fase di applicazione del RGPD (Regolamento Generale sulla Protezione Dati).
A questo link potete trovare il testo integrale del documento del Garante, pubblicato in gazzetta ufficiale, mentre il relativo allegato è disponibile qui
GDPR e CRITTOGRAFIA – OCCHIO AI FALSI MITI !!
Nel ricordare che il Regolamento Generale per la protezione dei dati personali o GDPR (General Data Protection Regulation – legge UE 2016/679) non indica requisiti minimi per la protezione dei dati, ma pone come principale focalizzazione “una nuova consapevolezza aziendale” sulla protezione dei dati personali e quindi ne derivano ben altre considerazioni da fare, pertanto, non è con una installazione di un qualcosa o l’implementazione di un sistema “x” o “z” che ci “mettiamo in regola” ma con la creazione di una vera e propria “strategia” di protezione dei dati personali (e quindi non solo con “strumenti”) , vogliamo cogliere l’occasione di porre l’attenzione su un metodo definito come “Compliance GDPR”, ovvero la CRITTOGRAFIA.
La crittografia, ribadiamolo, non è di per sé, rendere il nostro sistema o un trattamento di documenti “CONFORME” alla normativa GDPR, ma solo uno degli strumenti che possiamo utilizzare come no.
La valutazione di come e se impiegare questo strumento deve essere fatta all’interno di un “piano di protezione dei dati personali”.
Per dare un idea di ciò di cui stiamo parlando.. CRITTOGRAFIA , bene, cifriamo tutto il contenuto di un hard disk o solo una parte? su tutti i sistemi o solo su alcuni? con quale mezzo? password o certificato o entrambe? che impatto avrà la cifratura in termini di performance sul sistema e sulle procedure? cifriamo i documenti anche quando devono essere trasmessi esempio come allegati di posta elettronica o solamente quando gli trasferiamo sul cloud?
Tutte queste domande devono essere poste da professionisti, dopo una corretta analisi e la creazione di un vero e proprio “piano di protezione dei dati personali”, e non da “consulenti” che forse, hanno solo voglia di vendervi un nuovo prodotto/servizio magari con la scusa che è RICHIESTO dal GDPR !!!
CRITICITA’ SICUREZZA ACCOUNT WINDOWS
Alcuni recenti bollettini di sicurezza hanno evidenziato la frequentissima compromissione degli account Windows con password semplici, mediante attacchi di nuova generazione. Verificate le eventuali “vulnerabilità” presenti negli account di Windows dei vostri PC e correte subito ai ripari ponendovi rimedio.
I controlli e le operazioni basilari da effettuare:
- Verificare la presenza di account Windows senza password ;
- Accertarsi che le password degli account siano “complesse” ;
- Rimuovere gli utenti di uso “comune” dagli “Account amministrativi”.
Come già riportato nel nostro articolo “La scelta della vostra password è assolutamente vitale per la sicurezza delle vostre informazioni” reperibile al link http://bit.ly/2wymKO6 la complessità della password è un requisito basilare per proteggere le vostre informazioni e conseguentemente può essere valutato come un requisito “BASE” per gli adempimenti della normativa GDPR.
Se non avete familiarità con questi temi e volete controllare che il vostro “account” non sia vulnerabile, contattateci senza impegno, un nostro tecnico si metterà in contatto con voi.
Azure Backup – I vostri affari in cassaforte.
Mettete al riparo le informazioni più preziose e in regola con la nuova normativa Europea GDPR con il servizio Azure Backup. Azure Backup vi permette di de-localizzare in Cloud, in sicurezza, in Datacenter Europei, i dati più preziosi per il vostro Business. I Database del vostro gestionale, i contratti con i vostri clienti/fornitori, i documenti riservati, i progetti di ricerca e sviluppo di nuovi servizi e prodotti, insomma tutto ciò che ha valore per voi proteggetelo con il servizio Azure Backup. Contattateci per saperne di più e per sapere come possiamo aiutarvi a proteggere dati preziosi e mantenere al sicuro i vostri affari.
La nuova direttiva EU sulla protezione dei dati personali, meglio conosciuto come GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati)
Dopo l’adozione nell’aprile del 2016 del Regolamento UE 2016/679, meglio conosciuto come GDPR (General Data Protection Regulation, Regolamento generale sulla protezione dei dati), è iniziata una vera e propria corsa contro il tempo per garantire la loro conformità prima dell’effettiva entrata in vigore del Regolamento il 25 maggio 2018, pena il pagamento di pesanti sanzioni e l’avvio di potenziali procedimenti legali.
Il compito risulta esteso e particolarmente complesso perché questo Regolamento amplia molto l’ambito della responsabilità rispetto alla direttiva sulla protezione dei dati del 1995 (Direttiva 95/46/CE) precedentemente in vigore.
Il GDPR interpreta la definizione di dati personali in senso lato. Qualsiasi informazione che può essere utilizzata per identificare una persona in modo diretto o indiretto deve essere considerata un dato personale. Può trattarsi di un nomi, foto, indirizzi e-mail, coordinate bancarie, numeri di documenti di identità, post su siti web di social network, informazioni mediche e persino indirizzi IP associati a un account o un dispositivo specifico di un utente.
Tutte le organizzazioni che raccolgono, memorizzano e/o elaborano informazioni personali devono garantire la conformità al GDPR se:
- offrono beni o servizi a cittadini UE residenti nell’UE
oppure
- monitorano il comportamento di cittadini UE residenti nell’UE.
Sono incluse le organizzazioni che non hanno sede all’interno dell’UE, che non sono presenti in UE sotto nessuna forma e anche quelle con dipendenti UE ma senza clienti UE.
Insomma, se gestite in qualche modo informazioni personali che riguardano cittadini UE per beneficio di legge… il GDPR riguarda anche voi!
Tutte le organizzazioni che soddisfano questi criteri devono garantire la conformità.
Per qualsiasi informazione o chiarimento non esitate a contattarci.
fonte: http://ec.europa.eu/justice/data-protection/index_en.htm