Scadenza GDPR

Scadenza GDPR: siete pronti ad adeguarvi entro il 25 Maggio?

Il 25 Maggio, la data tanto temuta, è ormai alle porte e con essa l’entrata in vigore del ‘Regolamento Generale Europeo sulla Protezione dei dati’ (meglio conosciuto come GDPR), che sostituirà il codice nazionale sulla privacy.

Introduzione al GDPR

Si tratta di un passaggio cruciale per le imprese, in quanto andrà a cambiare definitivamente la normativa sul trattamento dei dati personali e richiede un adeguamento contestuale.

Qualunque ente o azienda lavori utilizzando dati personali altrui, dovrà, entro il 25 Maggio, conformarsi alla nuova norma o rischierà di incorrere in sanzioni particolarmente pesanti, in alcuni casi e per alcune tipologie di violazioni, si tratterà di multe fino ad un massimo del 4% del fatturato complessivo.


Questo articolo riguarda la sicurezza informatica.
Se cerchi informazioni sul GDPR in relazione a siti web ed e-commerce leggi: “GDPR: cosa fare e come adeguarsi entro il 25 maggio


A quali dati si riferisce il regolamento?

Si considerano dati personali le informazioni che rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…

Rientrano quindi nei dati presi in causa dal regolamento i dati identificativi (o anagrafici), sensibili (di origine religiosa, politica, razziale, ecc…) e giudiziari.

Quali requisiti è necessario soddisfare?

Le aziende dovranno far in modo che ogni utente sia a conoscenza dell’esistenza dei dati che lo riguardano, il ‘luogo’ in cui sono tenuti e le finalità.

I dati personali non potranno più essere attribuiti a persone fisiche ed identificabili, sarà vietata la profilazione e la pseudonimizzazione.

In particolare, rispetto al trattamento di un dato, le aziende devono garantire la sua:

  • Disponibilità: deve essere accessibile sempre, indipendentemente dal funzionamento del servizio IT che lo tratta;
  • Riservatezza: fruibile solo alle persone autorizzate;
  • Integrità: deve essere protetto rispetto a modifiche del contenuto sia accidentali che volontarie;
  • Esattezza: è importante che il dato sia corretto ed aggiornato;
  • Conformità: espresso in una forma adeguata al regolamento.

È necessario, inoltre, garantire, in caso di incidente, il ripristino dei dati esattamente come erano prima del suddetto incidente (ad esempio la distruzione di un archivio dati).

Cosa fare per rendere un’infrastruttura conforme al GDPR

titolari sono ‘responsabilizzati’ in prima persona (secondo il principio di ‘accountability’ contenuto nella direttiva), in quanto è imputato loro il dovere di applicare le procedure necessarie per conformarsi al Regolamento nell’ambito dello specifico trattamento effettuato dall’azienda.

Sarà necessario effettuare un’analisi dei rischi preliminare, al fine di comprendere quali sono i pericoli a cui sono esposti i dati e di conseguenza proteggerli applicando delle contromisure adeguate.

Due metodologie di prevenzione da attivare sono:

  • privacy by design’, affrontare fin da subito il problema di protezione dei dati, sin da momento in cui il trattamento viene progettato, in modo da prevenire e non correggere;
  • privacy by default’, trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

Nell’analisi dei rischi, è importante prendere in considerazione ed attuare questi 10 punti:

  1. Migliorare i sistemi di protezione dei dati configurando firewall, sistemi di sicurezza e di controllo della navigazione;
  2. Applicare la crittografia sulle connessioni di accesso ai sistemi;
  3. Applicare la crittografia entro il database come protezione da eventuali modifiche o manomissioni dei dati;
  4. Stabilire delle regole di accesso all’applicativo: distribuzione dei ruoli di accesso in modo che gli addetti possano vedere solo i dati specifici necessari a svolgere la loro funzione;
  5. Verificare che i software installati siano sempre aggiornati, programmare ed automatizzare i processi di aggiornamento e gestione delle non conformità riscontrate, così da essere meno vulnerabili ed esposti a rischi;
  6. Attuare politiche di backup e disaster recovery al fine di minimizzare la probabilità di perdita dei dati;
  7. Sviluppare meccanismi di scelta e gestione password opportune;
  8. Ospitare i server in un ambiente protetto;
  9. Garantire la localizzazione certa del dato;
  10. Utilizzare strumenti di archiviazione in cloud in grado di assicurare il rispetto delle nuove regole.

Dall’entrata in vigore del regolamento, sarà, inoltre, obbligatorio notificare i data breach (violazioni di dati personali), attraverso un monitoraggio efficace degli eventi di sicurezza all’interno del proprio sistema informativo e generandone un’adeguata reportistica.

La gestione dei dati personali ed il CRM

Uno dei cambiamenti principali sarà rappresentato dall’utilizzo dei gestionali e database aziendali.

Il trattamento deve fondarsi sul consenso dell’interessato, che deve essere libero, specifico, informato e inequivocabile.

Dunque non è possibile acquisire un consenso reso in forma tacita o presunta ed il responsabile del trattamento dei dati dovrà tenere un registro di ogni attività effettuata con essi.

Per quanto riguarda i consensi resi prima del 25 maggio 2018, restano validi se possiedono le caratteristiche previste dal GDPR.

Dall’entrata in vigore del regolamento, sarà, inoltre, obbligatorio notificare i data breach (violazioni di dati personali), attraverso un monitoraggio efficace degli eventi di sicurezza all’interno del proprio sistema informativo e generandone un’adeguata reportistica.

Affidarsi a dei professionisti per adeguare la propria azienda

È consigliabile non adottare soluzioni improvvisate, rivolgendosi a consulenti e partner IT certificati per stilare il piano d’azione migliore e ottimizzare gli investimenti necessari, poiché un buon risultato è ottenibile solo attraverso l’impiego di sistemi e soluzioni altamente affidabili.

Rivolgersi ad esperti vi dà la garanzia di operare in sicurezza e secondo le norme vigenti, inoltre può farvi risparmiare molto tempo, speso altrimenti cercando di comprendere come procedere.


Vuoi garantire la massima sicurezza e protezione dei dati ai tuoi clienti adeguandoti alle norme del GDPR?

Se non sai come procedere, contattaci per un preventivo gratuito!


La nostra assistenza ti aiuterà ad intraprendere gli adeguamenti necessari all’interno della tua infrastruttura, relativamente alla sicurezza delle reti e dei dispositivi firewall, backup, antivirus, connessione protette vpn, aggiornamenti sw, e molto altro!

Articoli simili