{"id":342,"date":"2015-06-09T12:18:32","date_gmt":"2015-06-09T10:18:32","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=342"},"modified":"2015-09-23T19:22:19","modified_gmt":"2015-09-23T17:22:19","slug":"new-eu-regulation-requires-structured-approach-personal-data-security","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2015\/06\/09\/new-eu-regulation-requires-structured-approach-personal-data-security\/","title":{"rendered":"Il nuovo Regolamento UE richiede un approccio pi\u00f9 strutturato alla protezione dei dati"},"content":{"rendered":"<p>Il Nuovo Regolamento, tramite gli articoli 30 e 33, stressa in maniera implicita il concetto di \u201cprocesso per la gestione della privacy\u201d, imponendo un approccio organico e risk based alla protezione dei dati personali che tenga conto degli importanti cambiamenti tecnologici e comportamentali avvenuti negli ultimi anni (Cloud, Big Data, Social Networks, diritto all\u2019oblio, diritto alla portabilit\u00e0 dei dati, etc.).<\/p>\n<p>L\u2019approccio risk based previsto dal regolamento richieder\u00e0 sicuramente un salto culturale alle aziende, ma consentir\u00e0 alle stesse di predisporre un framework per la gestione della privacy sostenibile nel tempo grazie ad un\u2019allocazione attenta e mirata delle risorse sulla base del risk appetite e della security posture.<\/p>\n<p>Per essere conformi al regolamento, le organizzazioni dovranno quindi dotarsi, qualora non lo avessero gi\u00e0 fatto, di un processo continuo strutturato in fasi ed attivit\u00e0 finalizzato, come richiesto dal par. 3 art. 30, a porre i dati personali al riparo dai rischi di riservatezza, autenticit\u00e0, integrit\u00e0 e disponibilit\u00e0 insiti nei trattamenti degli stessi e che dovr\u00e0 essere in grado di soddisfare i requisiti di cui all\u2019art. 33.<\/p>\n<p>Si dovr\u00e0 quindi definire ed attuare un framework coerente con la natura e l\u2019organizzazione interna dell\u2019azienda che consenta di:<\/p>\n<ul>\n<li>\u201cmappare\u201d i dati che rientrano nell\u2019ambito di applicazione del regolamento, partendo dai processi di business: \u00e8 la fase critica di tutto il framework, perimetro errato = dati personali non protetti = non conformit\u00e0<\/li>\n<li>Valutare la criticit\u00e0 di un processo attraverso l\u2019identificazione della natura dei dati personali e la valutazione dell\u2019impatto che la compromissione della Riservatezza, Autenticit\u00e0, Integrit\u00e0 e Disponibilit\u00e0 dei dati trattati causerebbe ai diritti e alle libert\u00e0 degli interessati in termini di (esempio non esaustivo):\n<ul>\n<li>Discriminazione<\/li>\n<li>Danni alla reputazione<\/li>\n<li>Furto d\u2019identit\u00e0<\/li>\n<li>Frodi<\/li>\n<li>Perdite finanziarie<\/li>\n<\/ul>\n<\/li>\n<li>effettuare l\u2019analisi del rischio per individuare il livello di esposizione al rischio di Riservatezza, Autenticit\u00e0, Integrit\u00e0 e Disponibilit\u00e0 dei dati personali trattati dal processo in esame. I risultati dell\u2019analisi consentiranno di individuare gli ambiti su cui focalizzare gli interventi, ottimizzando l\u2019impiego delle risorse a disposizione<\/li>\n<li>definire un piano di intervento \u00abequilibrato\u00bb tramite un\u2019attivit\u00e0 di risk treatment, fondamentale per mitigare i rischi rilevati con un impegno sostenibile per l\u2019azienda ed un rischio residuo accettabile<\/li>\n<\/ul>\n<p>Il framework dovr\u00e0 essere debitamente documentato e sottoposto ad un\u2019attivit\u00e0 di Monitoraggio periodica per avere la certezza che gli investimenti fatti abbiano prodotto o stiano producendo gli effetti attesi. Il monitoraggio, attraverso obiettivi di controllo e indicatori di performance chiari e misurabili, dovr\u00e0 consentire di valutare:<\/p>\n<ul>\n<li>l\u2019effettivo stato di implementazione delle misure di sicurezza<\/li>\n<li>l\u2019efficacia delle misure implementate<\/li>\n<li>l\u2019effettiva e corretta applicazione del framework<\/li>\n<li>la conformit\u00e0 ai requisiti del Regolamento al fine di valutarne l\u2019efficacia nel tempo.<\/li>\n<\/ul>\n<p>Infine, oltre ad essere reiterato periodicamente, il framework dovr\u00e0 comunque essere attivato a fronte di specifici eventi, quali:<\/p>\n<ul>\n<li>Definizione di un nuovo processo\/trattamento, modifica\/eliminazione di un processo\/trattamento esistente<\/li>\n<li>Adozione di nuove tecnologie a supporto dei processi\/trattamenti in essere<\/li>\n<li>Cambiamenti normativi<\/li>\n<li>Risultanze di attivit\u00e0 di Internal Auditing, Verifiche Ispettive, Monitoraggio<\/li>\n<\/ul>\n<p><\/p>","protected":false},"excerpt":{"rendered":"<p>Il Nuovo Regolamento, tramite gli articoli 30 e 33, stressa in maniera implicita il concetto di \u201cprocesso per la gestione della privacy\u201d, imponendo un approccio organico e risk based alla protezione dei dati personali che tenga conto degli importanti cambiamenti tecnologici e comportamentali avvenuti negli ultimi anni (Cloud, Big Data, Social Networks, diritto all\u2019oblio, diritto\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2015\/06\/09\/new-eu-regulation-requires-structured-approach-personal-data-security\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":15,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[15,12,14,24,23,22],"class_list":["post-342","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","tag-eu","tag-general-data-protection-regulation","tag-organization","tag-privacy-impact-assessment","tag-risk-assessment","tag-security-measures"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=342"}],"version-history":[{"count":7,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/342\/revisions"}],"predecessor-version":[{"id":666,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/342\/revisions\/666"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}