10 importanti misure di protezione per un buon adeguamento al GDPR

Per ogni azienda arriva inevitabilmente il punto in cui deve essere conforme al GDPR. Nuove Start-up e fondatori di società appena costituite si trovano ora, molto tempo dopo l’introduzione del GDPR, di fronte al problema della sua implementazione, che altri hanno già superato. Ma come approcciare al meglio l’argomento?

Foto: Pixabay.com, copyright by Stephan1982, 1894351, CC0 1.0

Come procedere al meglio con l’adeguamento?

Se ti trovi di fronte al compito di rendere i tuoi processi aziendali conformi al GDPR ti chiederai da dove cominciare e dove finire. Il problema è che non esiste una checklist onnicomprensiva che tenga conto di ogni piccolo dettaglio e che si applichi automaticamente ad ogni azienda.

Invece è importante, dopo un’approfondita analisi delle tua attività in azienda, trovare le misure di protezione adeguate e commensurate alla tua azienda. Ad esempio, le grandi aziende, con molteplici ingressi, devono pensare ad una protezione diversa rispetto a un libero professionista che lavora in un piccolo ufficio o da casa, con una sola porta d’ingresso. Analogamente, si deve usare lo stesso orientamento per ogni singolo reparto interessato.

Di seguito abbiamo elencato le 10 più importanti misure che devi necessariamente prendere in considerazione nella pianificazione della tua protezione dei dati. A proposito delle misure ci sarebbe da dire molto di più di quanto consenta questo articolo che, perlomeno, ti offre una panoramica delle cose più importanti a cui dovresti pensare.

La lista, sfortunatamente, non può essere esaustiva. Sentiti libero di contattare il nostro team di WB Trade-it per concordare un appuntamento per una prima consulenza. Potremo definire, congiuntamente, un progetto di adeguamento, con tutte le misure di sicurezza da seguire, su misura per la tua azienda.

MTO – misure tecniche e organizzative – art. 32 GDPR

Il fatto che sia necessario adottare delle misure tecniche e organizzative è regolato dall’articolo 32 del GDPR. Nell’articolo vengono menzionati per esempio la pseudonimizzazione, la cifratura, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare i dati, la documentazione per iscritto e il controllo regolare.

Le misure tecniche in questo contesto riguardano tutte le misure “fisiche” come per esempio:

  • Regolamentazioni di accesso (recinzioni, protezioni strutturali, protezioni per finestre e porte)
  • Sistemi di allarme
  • Specifiche indicazioni tecniche per la password e la sua complessità
  • Protezione aggiuntiva tramite identificazione (dati biometrici)
  • Pseudonimizzazione e crittografia dei dati personali
  • Impostazione e protezione degli account dell’utente
  • Creazione di registri di accesso automatici

Inoltre, esistono anche misure organizzative che fanno riferimento alle istruzioni procedurali e alle istruzioni del personale. Di questi fanno parte per esempio:

  • Il principio a quattro occhi per un controllo multiplo
  • Requisiti per la registrazione dei visitatori
  • Politiche che regolano la gestione, l’accesso e l’uso dell’IT, di Internet e dei dispositivi mobili
  • Istruzioni per lo smaltimento dei documenti conforme alla privacy
  • Impegno di riservatezza

10 importanti misure

Regolamento – Password

È molto importante, e anche piuttosto comune in ambiti privati, proteggere il PC con una password. Il tuo reparto IT può installare un programma che imposta i requisiti minimi che deve avere una password (quanti caratteri o simboli speciali) e a quali intervalli deve essere cambiata la password. Inoltre, questi programmi fanno sì che le password già utilizzate non possano più essere impiegate.

Regolamento – accesso fisico

Ciò include il controllo e la determinazione di quali persone hanno accesso a quali edifici o stanze, come, per esempio, nella sala server. In aziende piccole con soltanto una porta di ingresso, nella quale lavorano solo una manciata di persone in un ufficio unico e dove non esistono tante altre stanze, può capitare facilmente che questa misura di sicurezza venga dimenticata. In queste aziende, è molto comune che ognuno si muova liberamente e ovunque.

Regolamento – accesso virtuale

Questa misura prevede che tu specifichi necessariamente chi può accedere a quali dati. Non tutti dovrebbero essere in grado di accedere a qualsiasi PC e non tutti i computer dovrebbero avere installato lo stesso software. Un dipendente di produzione non deve avere la possibilità di accedere ai dati personali dei dipendenti, anche perché non ha il programma necessario o perché non ha le credenziali per accedere. Questo può essere regolato dal tuo reparto IT con l’installazione di diversi programmi per ogni pc e con il piano di autorizzazione degli accessi ai diversi dati.

Archiviazione dei dati

I tuoi dati (file elettronici e cartacei) devono essere archiviati secondo specifiche indicazioni e conservati per l’utilizzo quotidiano. Le persone esterne all’azienda non devono poter accedere ai dati per nessun motivo, mentre il personale interno può farlo solo secondo necessità e con opportuna autorizzazione. Qui entrano in gioco gli armadi chiudibili a chiave e a prova di fuoco, oltre a un buon firewall e programma di anti-virus per la protezione elettronica.

Regolamento – visitatori

Deve essere definito esattamente chi può accedere alla tua azienda, quando, dove e come si svolge la visita. I visitatori dovrebbero essere ammessi solo dopo la registrazione, accompagnati da personale addetto e avere accesso solo a determinate aree.

Limitazione dati

Devi determinare quali dati ti servono per lavorare. I dati non importanti non vanno nemmeno richiesti ai clienti e o fornitori e, di conseguenza, neanche archiviati. I dipendenti devono, inoltre, controllare con regolarità quali dati possono essere distrutti e/ o eliminati. Puoi lavorare in modo efficace soltanto se tutti i tuoi dati sono aggiornati.

Controllo degli elaboratori di dati personali

Se devi inoltrare i dati personali a fornitori di terze parti per un’ulteriore elaborazione, dovrai concordare in che modo procedere con la trasmissione dei dati. In particolar modo, questo controllo include l’esame della conformità al GDPR e la stipula di un contratto per l’elaborazione, come previsto nell’articolo 28 GDPR. Inoltre, anche i regolamenti e la conservazione dei contratti devono essere regolati da te.

Regolamento – Video-sorveglianza

Attraverso la video-sorveglianza raccogli e memorizzi informazioni personali. Per questo è necessario il consenso degli interessati. Perciò devi regolamentare precisamente dove posizioni le videocamere, in che modo e dove informi i tuoi dipendenti, i visitatori e i clienti che vengono ripresi, e per quale motivo e per quanto tempo conservi di dati.

Regolamento – caso emergenza

In caso di danni causati dall’acqua o da un incendio, ma anche in caso di interruzioni di corrente, i tuoi dati potrebbero essere in pericolo. Hai sicuramente bisogno di un piano di emergenza, e devi definire in anticipo cosa fare in caso di violazione dei dati (databreach). Anche senza evocare simili scenari drammatici, un piano di emergenza deve regolare anche la reperibilità delle persone incaricate per un eventuale contatto. Deve essere chiaro chi, quando e come è raggiungibile e come è in grado di fornire informazioni. A tutto ciò si aggiungono, inoltre, i dati di contatto delle autorità o degli interessati per lo scambio di informazioni e il regolamento IT: vale a dire, chi può ripristinare i dati e come?

Regolamento- distruzione dati

La distruzione dei dati necessita anche di regolamenti interni. Questi devono essere conformi ai livelli di sicurezza della norma DIN 66399, in cui viene regolata la misura di distruzione dei supporti di dati (in particolare carta) affinché possano essere smaltiti in conformità al GDPR. Oltre alla carta con dimensioni prescritte, anche i DVD, le chiavette USB e gli hard disk del server possono essere smaltiti una volta scaduto il termine legale minimo del periodo di conservazione.

Foto: Pixabay.com, copyright by ReadyElements, 3509495, CC0 1.0

Informazioni e aiuti

Le misure di protezione sono solo illustrative e non esaustive. Se vuoi metterti legalmente al sicuro, saremo felici di aiutarti con il nostro team di WB Trade-it. Insieme possiamo trovare soluzioni che si adattano perfettamente alla tua situazione e con le giuste misure per la tua azienda.