SERVIZI – datapolicy.it

PRIVACY

Che cosa sono: il Reg. UE 2016/679 (GDPR) e il D.Lgs. 196/2003 (Codice per la protezione
dei dati personali) costituiscono la normativa di riferimento. Chiarimenti su specifici
contesti si trovano nei Provvedimenti e nelle Linee Guida del Garante così come nelle
Linee Guida EDPB e nella documentazione delle autorità di controllo europee.
Perché: la corretta applicazione delle normative e la definizione di misure di sicurezza
adeguate proteggono da rischi operativi, sanzionatori e reputazionali. Poter dimostrare la
compliance, oltre che essere obbligatorio, fornisce un vantaggio competitivo
all’organizzazione.
Azioni: mappatura dei trattamenti di dati personali, valutazione delle attività
da effettuare per raggiungere la conformità, valutazione dei rischi e definizione delle
misure di sicurezza tecniche e organizzative. Definizione di un “Modello Organizzativo
Privacy” adeguato al contesto.

Le policy aziendali

Che cosa sono: l’art. 24(2) del GDPR, tra le misure di sicurezza indica “l’attuazione di
politiche adeguate”. Tali politiche si declinano in modo diverso a seconda dei rischi
e dei contesti di trattamento.
Perché: le politiche e le istruzioni interne servono a dare le linee guida per stabilire
le misure tecniche e organizzative di sicurezza, a dimostrare la conformità
dell’organizzazione verso committenti e autorità di controllo nonché a garantire i
diritti degli interessati.
Azioni: definizione delle politiche, revisione periodica delle stesse (es. procedure o
linee guida per la gestione delle violazioni dei dati personali e per la gestione delle
richieste di esercizio dei diritti da parte degli interessati, istruzioni per gli autorizzati,
ecc…).

Che cosa sono: il titolare del trattamento è tenuto a stabilire misure di sicurezza a
protezione dei dati personali degli interessati.
Perché: l’art. 32 del GDPR stabilisce che il titolare del trattamento debba mettere in
atto misure tecniche e organizzative “adeguate” in relazione al rischio, capaci di
preservare la riservatezza, l’integrità e la disponibilità dei dati personali nonché di
ripristinare l’accesso ai dati in caso di incidente fisico o tecnico.
Azioni: definizione delle misure di sicurezza tecniche e organizzative, piano di
formazione e di veirifica sull’effettiva attuazione delle stesse.

Che cos’è: la formazione del personale è una delle principali misura organizzativa di
sicurezza, specie nelle organizzazioni piccole o medie, prevista anche nel GDPR agli
artt. 29 e 32.
Perché: la formazione è necessaria per diffondere la “cultura” della protezione dei
dati nell’organizzazione. L’errore umano è alla base della maggior parte delle
violazioni dei dati e degli incidenti informatici, eventi che possono causare danni agli
interessati e sanzioni “privacy” quando derivano da insufficienti misure di sicurezza.
Azioni: definizione di un piano di formazione adeguato al contesto, idoneo a
mettere in atto le politiche e le misure di sicuezza dell’organizzazione,
aggiornamento periodico.

Che cosa sono: sono attività di base per la sicurezza informatica (ad es. gestione
utenti, gestione credenziali, inventario dei dispositivi) e attività ulteriori da
intraprendere a seconda del contesto di rischio in cui opera l’organizzazione.
Perché: l’individuazione del contesto, della probabilità e dei rischi di una perdita di
riservatezza, disponibilità o integrità delle informazioni è il primo passo per
implementare un’adeguata sicurezza del sistema informativo.
Azioni: azioni necessarie in questa fase sono, ad es., inventario degli asset,
identificazione delle forniture critiche, definizione del “perimetro di difesa”, analisi
delle vulnerabilità, piano di backup.

Che cosa sono: identificazione e definizione delle esigenze di sicurezza dei sistemi e
delle informazioni, definizione di ruoli e responsabilità interne, istruzioni per
l’utilizzo di strumenti e sistemi informatici, istruzioni per gli amministratori di
sistema, segmentazione delle risorse e delle informazioni, piano di disaster recovery.
Perché: definire le politiche “sulla carta” è un passaggio essenziale per
implementare un sistema informativo che risponda alle esigenze
dell’organizzazione, permette di capire come organizzare i controlli e quali ruoli
assegnare, anche in caso di incidente.
Azioni: definizione di liste di controllo per gli accessi, la divisione delle informazioni
e dei ruoli per livelli di rischio, le misure di sicurezza, i piani di reazione agli incidenti,
piani di formazione e di verifica.

Che cosa sono: le azioni tecniche e organizzative che mettono in pratica le politiche
di sicurezza. Se ne può fare un elenco da verificare e aggiornare periodicamente.
Perché: le misure di sicurezza e le relative istruzioni sono la parte fondamentale del
sistema di sicurezza. Le misure di sicurezza devono essere finalizzate sia a prevenire
che a ripristinare i sistemi dopo un attacco.
Azioni: elenco di misure di sicurezza, istruzioni e attribuzione dei ruoli e delle
responsabilità, verifica periodica dell’efficacia e efficienza delle misure.

Che cos’è: informazione e formazione del personale che utilizza dispositivi e
strumenti informatici. Il personale deve essere informato sulle principali minacce
informatiche e sui comportamenti idonei a proteggere le informazioni.
Perché: le tecniche di social engineering (es. phishing, truffe telefoniche, …) sono
ancora le più sfruttate per accedere illecitamente a dati e sistemi aziendali, gli errori
umani sono ancora le principali fonti di violazione delle informazioni. Aumentare la
consapevolezza delle persone esposte ad attacchi è il principale strumento di difesa.
Azioni: piano di formazione sulle politiche e le istruzioni interne e di sensibilizzazione
sulle principali minacce informatiche e sull’utilizzo dei dispositivi aziendali e
personali, aggiornamento periodico.

Servizi forniti anche con la collaborazione di professionisti e aziende partner