Manca meno di un mese all’arrivo del GDPR.
Il 25 maggio infatti è la data ultima per adeguarsi al Regolamento Europeo per il trattamento dei dati. Chiunque verrà trovato non-compliance successivamente a questa data sarà soggetto a sanzioni fino al 4% del fatturato annuo o 20 milioni di euro, in base alla cifra più alta.
Il GDPR richiederà grossi sforzi da parte delle aziende, ma è un passo che è straordinariamente necessario al giorno d’oggi.
Alla luce di casi come Cambridge Analytica, l’opinione pubblica finalmente comincia a capire che i nostri dati sono troppo preziosi per essere trattati con poca cura.
Ma le aziende italiane sono pronte all’arrivo del GDPR?
Il timore risiede proprio qui.
Il provvedimento sembra essere preso sottogamba da molte imprese, che ancora non si sono completamente adeguate, né prevedono di farlo.
Oggi vogliamo parlare però a quelle aziende che hanno deciso di proteggere i propri dati e vogliono evitare sanzioni, spiegando loro cos’è una Vulnerability Assessment e come mai è importantissimo farla.
Cos’è una Vulnerability Assessment (V.A.)
La V.A. è, prima di tutto, un servizio per le aziende. Si tratta di un insieme di operazioni mirate a scoprire le falle all’interno dei sistemi informatici. Questo servizio permette alle aziende di individuare i propri punti deboli e sistemarli prima che qualcuno di esterno possa scovarli e sfruttarli a suo piacimento.
La V.A. è utile per stilare un’analisi dei rischi che l’azienda corre, un Registro delle attività di trattamento e la Valutazione di impatto sulla protezione dei dati.
Grazie a questa documentazione, oltre che al certificato che dimostra l’implementazione delle misure di sicurezza, si è a buon punto nel processo di compliance riguardo al GDPR.
È “obbligatoria” secondo il GDPR?
Non esattamente. Il GDPR non indica l’operazione con il suo nome tecnico, così come non indica il nome di nessun prodotto specifico per la sicurezza del dato. Il GDPR indica però alcuni obblighi, tutti compresi all’interno della V.A.
Per spiegarvi meglio vi mostriamo direttamente, articolo per articolo, cosa dice la normativa:
Articolo 30 Registro delle attività di trattamento
“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle
attività di trattamento svolte sotto la sua responsabilità”
Articolo 32 Sicurezza del trattamento.
“Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:” “b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento”
“d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.”
Articolo 35 – Valutazione di impatto sulla protezione dei dati
“La valutazione contiene almeno: c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente
regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.
Articolo 39 Compiti del responsabile della protezione dei dati
Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: …b) sorvegliare l’osservanza del presente regolamento.
Articolo 57 Compiti [delle Autorità di controllo]
… sul proprio territorio ogni autorità di controllo: … h) svolge indagini sull’applicazione del presente regolamento…
Articolo 59 – Relazioni di attività
“Ogni autorità di controllo elabora una relazione annuale sulla propria attività, in cui può figurare un
elenco delle tipologie di violazioni notificate e di misure adottate a norma dell’articolo 58, paragrafo 2″…
Nelle parti evidenziate potete notare i riferimenti alla V.A.
Un dovere, ma non solo nei confronti della legge
Effettuare una V.A. non è importante solo per diventare compliance. Ogni azienda dovrebbe avere a cuore i dati dei suoi clienti e dovrebbe proteggerli nel miglior modo possibile.
Ecco, la V.A. è il miglior modo possibile.
Scoprendo ogni falla all’interno dei propri sistemi, potremo effettuare le giuste operazioni per la salvaguardia dei dati e dei sistemi stessi, senza sprechi di risorse inutili e con la prova definitiva di massima protezione possibile.
Cosa state aspettando? Contattate TAG per effettuare la Vulnerability Assessment