Archivio

Categoria: Data management

Privacy by design & by default: cosa sono e come si applicano?

Restare al passo con i tempi, e soprattutto con le leggi, si sa, non è un gioco da ragazzi. Stare sul pezzo in termini di garanzia della Privacy dei clienti e dei collaboratori è una necessità imprescindibile se si fa impresa, ma – diciamocelo – è una bella sfida. Da fine maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679, noto ai più come GDPR (General data protection regulation). Tale normativa, come saprai, introduce la necessità di pianificare il trattamento dei dati personali e di stabilire preventivamente le misure essenziali per garantirne la sicurezza. Tra i fondamenti sanciti dal GDPR, è essenziale menzionare il principio di accountability, ovvero di responsabilità. È infatti unicamente responsabilità del titolare dei dati sia valutare individualmente il livello di rischio, sia identificare le misure più appropriate da applicare in ciascuna situazione specifica per proteggere i dati raccolti. Questa è una grande sfida per chi fa impresa. E diventa una sfida ancora più ardua se si considera che, per necessità di business, i dati dei tuoi clienti vengono trattati spesso anche dai tuoi fornitori… Insomma, le normative europee responsabilizzano enormemente le imprese riguardo alla sicurezza dei dati che maneggiano, il che rende la loro gestione un processo estremamente delicato. Ma non c’è da perdersi d’animo perché il GDPR è molto chiaro nei suoi principi fondamentali. Nei prossimi paragrafi ti mostreremo come la legge prevede che tu protegga la Privacy dei tuoi clienti. Aggiungeremo anche un consiglio su come tutelarti quando i tuoi dati escono dalle mura della tua impresa. Due principi del GDPR Tra i principi fondamentali del GDPR qui trattiamo nello specifico quelli di Privacy by design e di Privacy by default. Questi sono regolamentati nell’articolo 25 del GDPR e sono approfonditi nelle Guidelines 4/2019 on Article 25 Data Protection by Design and by Default. L’articolo 25 del GDPR evidenzia l’approccio basato sulla valutazione del rischio (risk-based approach), insieme ad altri obblighi, come la notifica alle autorità di controllo nazionali. Secondo tale approccio, le aziende devono valutare il rischio associato alle proprie attività. Tale valutazione determina il grado di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle sue finalità, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Questa valutazione del rischio deve essere effettuata durante la progettazione del sistema, prima dell’avvio del trattamento. Di seguito, ti mostriamo in dettaglio i concetti di Privacy by design e Privacy by default, nonché i requisiti chiave per una corretta conformità. 1. Privacy by design Il concetto di Privacy by design, introdotto nel 2010, ha origini negli Stati Uniti e in Canada. Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada) ne curò la definizione. Successivamente, il concetto fu adottato durante la 32ª Conferenza mondiale dei Garanti Privacy. Con questa definizione si identifica la necessità di considerare la riservatezza e la protezione dei dati personali fin dal concepimento di un progetto (appunto, by design). In definitiva, secondo il criterio di Privacy by design, il sistema di protezione dei dati personali deve porre l’interessato al centro, obbligando il titolare del trattamento a una sua tutela effettiva, non solo formale. Ogni progetto, sia a livello strutturale che concettuale, deve essere realizzato considerando fin dalla fase di progettazione la riservatezza e la protezione dei dati personali. L’obiettivo è quello di prevenire e ridurre al minimo i rischi per la Privacy, invece di intervenire in seguito con misure correttive. Ciò implica l’adozione di misure proattive per proteggere i dati personali. Tra queste si annoverano: l’implementazione di politiche di accesso limitato, l’uso di tecniche di crittografia e la minimizzazione della raccolta e della conservazione dei dati. Il principio richiede al titolare di adottare adeguate misure tecniche e organizzative per il trattamento dei dati personali. Nell’effettuare tale scelta, è fondamentale considerare alcuni elementi essenziali per garantire un’applicazione efficace del sistema di protezione. Eccoli di seguito: 2. Privacy by default Il principio di Privacy by default stabilisce che, per impostazione predefinita, le aziende dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste, per il periodo strettamente necessario a tali scopi. Il principio di Privacy by default richiede quindi che innanzitutto il titolare identifichi, prima di avviare il trattamento, quali dati personali sono strettamente necessari per la finalità specifica per la quale saranno acquisiti, al fine di proteggere la loro riservatezza. Questo principio sottolinea l’importanza della minimizzazione dei dati. L’applicazione del principio di minimizzazione non è semplice, poiché richiede di considerare, giustificare e stabilire quali dati siano necessari per il trattamento. Tale analisi dei dati dipenderà dal tipo di trattamento, dai soggetti coinvolti e dalla rilevanza dei dati trattati. In definitiva, il titolare dei dati dovrà analizzare i trattamenti da effettuare e valutare i rischi che possono esistere per gli interessati. La Privacy by default è anche correlata alla trasparenza, che implica fornire informazioni chiare e comprensibili agli individui riguardo alla raccolta, all’uso e alla condivisione dei loro dati personali. L’obiettivo è garantire loro il pieno controllo e la consapevolezza delle pratiche di trattamento dei dati che li riguardano. Consigli di applicazione dei principi di Privacy by design e Privacy by default Come predefinire la gestione della privacy Per adempiere al principio di Privacy by Default, il Comitato europeo per la protezione dei dati ha pubblicato tre strategie che possono servire da linee guida. Il principio di Privacy by default riguarda naturalmente tutti gli aspetti del trattamento, non solo la quantità e la qualità dei dati, ma anche la durata del trattamento e gli attori intitolati ad accedere ai dati. Come progettare includendo il rispetto della Privacy Per integrare la Privacy fin dalle prime fasi di progettazione di processi e di sistemi, possiamo fare affidamento su sette principi, identificati durante la 32ª Conferenza mondiale dei Garanti della Privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners) tenutasi a Gerusalemme nel 2010. Essi rappresentano appieno il significato della prospettiva della Privacy by design e possono aiutarti a gestire al meglio l’arduo compito di portare

Leggi tutto »

Un Backup può salvarti la “vita”!

Come ogni lunedì mattina alle 7.30 Paolo prende frettolosamente un caffè, recupera la borsa del pranzo che la moglie gli ha prontamente lasciato sul mobiletto dell’ingresso ed esce di casa per andare in ufficio. Il traffico è molto a quell’ora, quindi Paolo preferisce prendere il tram per evitare di fare tardi a lavoro. Trovare un posto dove sedersi è davvero un’utopia, ma Paolo riesce a farsi spazio tra la folla e a ricavarsi uno spazietto in un angolo. Poco più di 10 minuti ed eccolo arrivato a destinazione. Paolo scende e si incammina verso l’ufficio, fruga nelle tasche per prendere il telefono e… niente, non lo trova. Fermo in mezzo alla strada si rende conto che qualcuno, approfittando del tram affollato, ha rubato il suo telefono. Una goccia di sudore gli scende lentamente sulla fronte mentre nella sua mente scorrono le immagini di appuntamenti, coordinate di carte di credito, liste di cose da fare o compare, foto, numeri in rubrica, praticamente la sua vita in quello smartphone…tutto è andato perduto! Spesso sottovalutiamo l’importanza di fare un Backup dei nostri dati pensando che siano già abbastanza al sicuro nelle tasche dei nostri cappotti o dentro le nostre borse. Non è vero che senza il telefono siamo persi, ma senza i dati che questo contiene lo siamo davvero, ormai. Paolo è solo un esempio, ma in fondo rappresenta ognuno di “Noi”, persona o azienda, che detiene dati preziosi e ne è responsabile dell’integrità e della sicurezza, ben oltre l’improbabilità degli accadimenti. Le 5 principali cause di perdita dei dati La perdita dei dati può dipendere da fattori di varia natura, ma le cause più ricorrenti sono: Azione volontaria (es. cancellazione di un file o di un programma); Calamità naturale (es. incendio o terremoto); Errore umano (es. cancellazione involontaria di un file); Fatti criminali (es. furto o hackeraggio); Guasto (es. crash dell’hard disk o bug del software). Il Backup e il suo valore Evitare un evento critico come la completa perdita di dati archiviati su un telefono o un pc è possibile grazie ad una semplice operazione di Backup, ossia la duplicazione dei dati da un supporto di archiviazione originario ad un altro. Questa azione, quotidiana o periodica, consente di reperire contenuti audio/video/testo altrimenti irrecuperabili per una delle cause sopra elencate. Il recupero dei dati è particolarmente rilevante per le aziende in quanto protegge il reale valore dei dati e garantisce la continuità di servizio. Notizie dal mondo del Backup… Secondo un rapporto della KrollOntrack, azienda specializzata in recupero dati, l’Italia è ancora troppo poco sensibile alla tematica relativa alla conservazione dei dati, anche se negli ultimi anni sta guardando sempre più con interesse ai sistemi di archiviazione locale ed online (in cloud). La motivazione principale dello scarso investimento nell’implementazione di dispositivi di Backup? Il tempo speso per metterli in atto è ritenuto dalla maggioranza delle aziende un costo vivo. Ma allora chiediamoci fino a che punto può costare ad un’azienda non fare un Backup e perdere eventualmente tutti i dati? Alcune rilevanti ricerche mettono in luce una percentuale poco rassicurante: circa il 60% delle aziende che ha subito una perdita di dati ha chiuso entro i successi 6 mesi. Le modalità di Backup In base alle specifiche esigenze, esistono diverse tipologie di Backup: Backup su drive esterno: eseguire un Backup su HDD esterno è tra i metodi preferiti dai privati. Perché? È poco oneroso, veloce da utilizzare, facilmente trasportabile e conservabile. Cloud: eseguire un Backup sul cloud ha un vantaggio enorme, non essendo necessario acquistare un hardware né affrontare problematiche di spazio fisico per la conservazione dei dispositivi fisici di backup. NAS (Network Attached Storage): è una modalità di condivisione dei file tra computer in rete. Nella forma più semplice comprende una serie di HDD in configurazione RAID che rendono il Backup più sicuro rispetto al primo metodo menzionato. In una forma più avanzata consiste in un file system distribuito e scalabile. I consigli degli esperti Labitech… La sicurezza e l’integrità dei dati sono al centro del modus operandi di Labitech. Gli esperti ritengono il Backup uno strumento operativo di notevole importanza che contribuisce, insieme ad altri, a proteggere i dati dell’azienda e dei suoi Clienti. Qualche consiglio da seguire… In azienda come buona pratica nei dispostivi forniti agli utenti devono essere presenti pochi dati, ossia la minima quantità necessaria allo svolgimento delle attività. I file a cui non si accede frequentemente devono essere spostati in uno spazio remoto gestito a livello centrale e sottoposto a specifiche procedure di sicurezza. L’assenza di una grande quantità di dati sui dispositivi degli utenti porta a due grandi vantaggi: minor perdita di dati in caso di rottura del drive; minore rischio o gravità di accesso ai dati da parte di terzi in caso di furto. Il semplice Backup dei dati del pc su un supporto esterno (hard disk esterno o pen drive) effettuato dagli utenti è una pratica da evitare. Questi supporti infatti non sono facili da gestire in sicurezza all’interno del perimetro aziendale e spesso domande come queste trovano difficilmente risposte certe: dove sono collocati i dati? Chi può accedervi? Quali dati sono stati copiati? I dati sono in chiaro? Il Backup è davvero stato fatto? Invece, l’accumulo dei dati aziendali in forma centralizzata può permettere una gestione sicura perché i dati: possono essere salvati su dispositivi protetti fisicamente (es. sala ced ad accesso controllato) sono sempre disponibili (cluster di server e sistemi di replica evitano la perdita di dati anche in caso di guasti) sono sottoposti a Backup periodici automatici (questo permette un eventuale recupero per come erano ad una specifica data) sono sottoposti a Backup automatici su un sito remoto (per poterne effettuare un recupero in caso di disastro) sono crittografati (per evitare che siano leggibili in caso di furto o di accesso illecito e per garantire che non siano stati manomessi) Inoltre, la replica dei dati è fondamentale nella fornitura di servizi software ad alta affidabilità e scalabilità: questo tipo di servizi deve garantire continuità anche in caso di spegnimento

Leggi tutto »

Non perderti nessuna novità. Iscriviti alla Newsletter