Il GDPR — General Data Protection Regulation: una guida pratica su co-

me prepararsi in azienda
Il GDPR è il nuovo regolamento approvato dal Parlamento e dal Consiglio Europeo per la protezione dei
dati personali dei cittadini nell’epoca digitale.
L’obiettivo è quello di regolamentare come le aziende raccolgono, elaborano e distruggono
dati personali degli utenti.
Inoltre secondo Terzi, l’ambasciatore e ministro degli esteri, con il Regolamento sulla protezione dei dati –
il GDPR che entra in vigore dal 25 Maggio 2018 – l’Unione Europa sta cercando le premesse per un’evolu-
zione molto significativa della sicurezza informatica, della collaborazione tra pubblico e privato, e della
interazione tra Paesi alleati per prevenire, resistere e contrastare gli attacchi informatici che aumentano
con un tasso di crescita del 20%.

4° 47% + 126% 237

L’Italia nella classifica Percentuale delle PMI Aumento dei crimini Numero di attacchi DDoS
europea delle nazioni italiane che ha subito riferibili al Cyber alla settimana a PMI che
più colpite è al quarto un attacco informatico Espionage rendono indisponibile un
posto servizio

Da recenti sondaggi è emerso che solo il 46% delle aziende italiane si dichiara essere pronto per applicare
tutte le misure di sicurezza previste dalla nuova normativa, ma l’88% precisa che restano ancora problemi
tecnici, legali e organizzativi da risolvere urgentemente per iniziare a proteggersi dagli eventuali attacchi.
Ecco il perché di questa guida: per aiutarti a comprendere meglio i diritti e i doveri contenuti
nel regolamento ed iniziare subito a rendere la tua organizzazione aziendale più sicura e con-
forme al GDPR.

Cosa si intende per sicurezza informatica?

La sicurezza informatica riguarda tutte le accortezze che i singoli individui e soprattutto le imprese devono
seguire per evitare fughe di dati sensibili, furti o infiltrazioni a livello informatico nei loro sistemi.
Nel primo caso si parla di dati personali, ovvero qualunque informazione relativa all’individuo, collegata
alla sua vita privata, professionale o pubblica, quindi tutto ciò che concerne la privacy. Nel secondo inve-
ce, i danni di violazioni di sicurezza possono riguardare gli individui ma anche prodotti, attrezzature e tutti
i dispositivi che rientrano nell’IOT — Internet of Things. Oggi le macchine interconnesse generano circa
700 volte i dati che generano le persone. Per le imprese questo si traduce in un investimento che tende a
mettere al sicuro i propri dati ed interessi.
A chi è rivolto il Regolamento generale sulla protezione dei dati?

Il GDPR è rivolto innanzitutto a tutti i cittadini europei a cui vengono riconosciuti dei diritti inviolabili; d’al-
tra parte i soggetti che recepiscono in modo più impattante le norme europee sono le aziende.
Infatti, le aziende che trattano dati personali, avrebbero dovuto, entro il 25 Maggio 2017, ob-
bligatoriamente uniformarsi al nuovo regolamento adottando soluzioni idonee, anche se la
normativa non prescrive specifiche tecnologiche. Resta dunque alle aziende l’onere di dimostrare di aver
fatto tutto ciò in loro possesso per recepire nella totalità il nuovo regolamento.
Nello specifico, le aziende che sono direttamente interessate al recepimento sono:
• Aziende che hanno una presenza fisica in almeno uno Stato dell’Unione Europea
• Aziende straniere che processano o memorizzano dati personali di cittadini Europei
• Aziende che utilizzano servizi di terze parti che processano o memorizzano dati perso-
nali di cittadini europei

Quali sono le novità introdotte dal regolamento più impattanti per le

aziende?

La prima grande novità è che il GDPR pone un cambio di prospettiva rispetto alla disciplina della
privacy previgente, non contenendo più meri oneri burocratici, ma imponendo, al contrario,
di considerare la data protection come parte integrante e quotidiana di tutti i processi azien-
dali.
Si apre in questo modo una nuova pagina sul tema del rapporto tra privacy e trasparenza. Si pone un fo-
cus sulla tutela efficace della riservatezza dei dati dei cittadini e le aziende sono quindi tenute a compren-
dere l’importanza ed il valore dei dati, non solo di quelli dei loro clienti ma anche dei propri e dell’impor-
tanza dei danni economici legati alla perdita o alla violazioni di queste informazioni.
Quali sono i diritti e i doveri imposti dal nuovo regolamento?
Il GDPR definisce otto diritti del cittadino europeo nell’ambito della protezione dei dati personali definen-
dolo parte attiva del processo di gestione dei dati dandogli potere e facoltà di stabilire come e quando
possano essere usati i propri dati dalle aziende.

Questa prospettiva ha come diretta conseguenza Per le aziende che violeranno uno
una radicale modifica dei processi di raccolta,
trattamento e conservazione dei dati degli utenti
di questi diritti, sono previste san-
da parte delle organizzazioni aziendali, poiché zioni fino a:
tutte le aziende devono adottare misure di sicu-
rezza idonee a poter recepire nella totalità la
- 20 milioni di Euro
nuova normativa. - 4% del volume di affari globale

Di seguito si analizzano i suddetti diritti che diventano doveri per le aziende.

DIRITTI COSA SIGNIFICA PER GLI UTENTI COSA SIGNIFICA PER LE AZIENDE

Diritto di L’utente ha il diritto di sapere come i Mettere a punto un processo interno di fa-
essere informati suoi dati verranno raccolti, processati e cile lettura che fornisca dettagli su quali
archiviati e a quale scopo, ancora prima informazioni degli utenti vengono archiviate
Articoli: 12, 13, 14
che vengano raccolti. e a quale scopo. Prima della stessa raccolta
dei dati gli utenti devono essere informati.

Diritto di Dopo che i dati sono stati raccolti, l’u- Occorre implementare processi e abilità
accesso tente ha il diritto di accedervi e sapere tecniche in grado di:
come gli stessi vengono raccolti, proces-
Articoli: 12, 25 i. Tracciare nel sistema tutti i dati rela-
sati e archiviati e a quale scopo.
tivi ad ogni utente;
ii. Controllare se chi fa richiesta gode
del diritto di accesso;
iii. Fornire le informazioni richieste.

Diritto di Ad ogni utente spetta la possibilità di Occorre implementare processi e abilità

rettifica poter correggere i dati se sbagliati o tecniche in grado di:
incompleti.
Articoli: 12, 16 i. Controllare se chi fa la richiesta di
rettifica gode del diritto di farlo;
ii. Correggere i dati;
iii. Notificare l’utente dell’avvenuta
correzione.
Diritto di oblio All’utente spetta il diritto di poter Occorre implementare processi e abilità
cancellare per sempre tutti i suoi dati tecniche in grado di:
Articoli: 12, 17
personali.
i. Avere traccia nei sistemi di tutti i dati
relativi all’utente che fa richiesta;
ii. Controllare se chi fa richiesta gode
del diritto di oblio;
iii. Cancellare per sempre tutti i dati re-
lativi all’utente richiedente;
iv. Notificare l’utente dell’avvenuta can-
cellazione.
In aggiunta, è necessario implementare un
processo ed abilità tecniche per:
i. Cancellare automaticamente i dati
dopo un determinato periodo di tem-
po, a meno che gli stessi non sia an-
cora necessari.
ii. Se i dati vengono passati a terze par-
ti, informarli della richiesta di cancel-
lazione;
iii. Ricevere una richiesta di cancellazio-
ne da parti terze che hanno passato
dati all’azienda ed effettuarla.

Diritto di L’utente può limitare l’utilizzo dei suoi Occorre implementare processi e abilità
limitazione dati in uso o bloccarne l’utilizzo. tecniche in grado di:
Articoli: 12, 18 i. Tracciare nel sistema tutti i dati rela-
tivi ad ogni utente;
ii. Controllare chi può gestire la richiesta
di limitazione;
iii. Notificare l’utente che ha fatto la ri-
chiesta ad avvenuta modifica.

Diritto di L’utente ha il diritto di spostare, copiare Occorre implementare processi e abilità

portabilità o trasferire i dati personali da un con-
troller ad un altro di sua scelta, in modo
Articoli: 12, 20
sicuro e in un formato machine-reliable.
tecniche in grado di:
i. Tracciare nel sistema tutti i dati rela-
tivi ad ogni utente che fa la richiesta;
ii. Controllare se chi fa richiesta gode
del diritto di portabilità;
 Nel caso in cui questo fosse possibile, iii.
l’utente ha anche il diritto di trasferire i
dati da un controller all’altro senza dover
gestire i dati.
iv.
Trasferire i dati ad un altro controller
o ad altra entità richiesta dal richie-
dente in modo sicuro;
Notificare l’utente dell’avvenuto tra-
sferimento.

Diritto di L’utente ha il diritto di vietare che i suoi Per adempire a questo obbligo le aziende
opposizione dati vengano utilizzati da Pubbliche Am- devono implementare ed attuare tutti i pro-
ministrazioni e Aziende che li elaborino cessi ed abilità tecniche sopra elencati.
Articoli: 12, 21
senza esplicito consenso.
Inoltre, il diritto si estende anche al di-
vieto che i propri dati siano inseriti in
liste di marketing.

Diritto di divieto L’utente ha il diritto di chiedere l’inter- Occorre implementare processi e abilità
all’automazione vento umano e non lasciare tutte le de- tecniche in grado di:
cisioni ad algoritmi o ad automazioni.
Articoli: 12, 22 i. Tracciare nel sistema tutti i dati rela-
tivi ad ogni utente che fa la richiesta;
ii. Gestire una richiesta relativa all’arti-
colo 22;
iii. Riconvertire una decisione automati-
ca dell’algoritmo;
iv. Fornire tutte le informazioni necessa-
rie ad una operatore in carne ed os-
sa.

I diritti appena esposti evidenziano come le Aziende avranno la necessità di adeguarsi per poter soddisfa-
re la richiesta di informazioni specifiche e dettagliate da parte degli utenti. Inoltre, a poter esercitare i
suddetti diritti non sono solo gli individui, ma in alcuni casi particolari, come situazioni identificate perico-
lose per la sicurezza, il diritto del singolo cittadino viene svolto da un’Autorità legale per supervisionare e
controllare i dati in elaborazione e l’operato dell’Azienda a cui si fa una specifica richiesta.
La violazione dei diritti spettanti ai cittadini europei da parte delle aziende sarà multata da sanzioni calco-
late sulla base del fatturato e potranno raggiungere fino al 4% delle entrate aziendali globali annuali.
Se i nuovi regolamenti GDPR fossero in vigore oggi, una violazione potrebbe costare a Fa-
cebook fino a 550 milioni di euro in base alle vendite del 2015. Non c’è da sorprendersi che, in un
sondaggio per valutare la preparazione delle organizzazioni al GDPR, il 42% ha affermato che la loro più
grande preoccupazione era la dimensione economica della potenziale multa.

Il concetto di cyber security non è da intendersi soltanto come mera

spesa per le aziende, ma anche e soprattutto come investimento a
breve e lungo termine che rientra a pieno titolo nella strategia
dell’impresa 4.0.
Quali sono le novità che più andranno ad influenzare l’organizzazione dei

Il Regolamento Generale in materia di Protezione di Dati impone una serie di requisiti legali, tecnici ed
amministrativi alle aziende ed organizzazioni che raccolgono, archiviano e processano dati personali. Una
categoria di questi requisiti, che riguardano la protezione dei dati e la loro gestione, sono particolarmente
rilevanti per chi usa piattaforme e servizi di archiviazione di dati.
I principali sono di seguito descritti:

Rispetto del Data Breach (violazione dei dati):

L’articolo 33 del GDPR impone al titolare del trattamento dei dati di notificare all’autorità di controllo la
violazione di dati personali entro e non oltre 72 ore dal momento in cui ne viene a conoscenza.
Scoprire quindi l‘incidente non è sufficiente, il titolare dei dati deve essere in grado di valutarne la portata
di impatto rispetto ai possibili danni ai dati personali ed a i diritti e la libertà degli utenti.

È fondamentale che sia dimostrabile il Accountability:

momento della scoperta della violazione Il principio di accountability del GDPR attri-
dei dati, poiché da quel momento decor- buisce un ruolo di responsabilità nei con-
rono 72 ore per la notifica. fronti del titolare del trattamento dei dati.
Le aziende devono quindi implementare Le aziende quindi devono poter dimostrare
un sistema di rilevamento adeguato. con prove documentali la propria conformi-
tà al regolamento.
Ciò significa che le aziende, in quanto responsabili del trattamento dei dati dei loro utenti e clienti, devo-
no scegliere i mezzi, compresi software e sistemi, che trattano per loro conto i dati da utilizzare nei loro
processi valutandone la conformità al regolamento di modo da garantire il sostanziale e reale rispetto dei
diritti degli utenti sanciti dal GDPR.
Nomina del Data Protection Officer (DPO):
Il DPO è una persona fisica che ha il ruolo di vigilanza dei Il DPO, nella PA, nelle aziende
processi interni alla struttura ed il ruolo di consulenza; con più di 250 dipendenti e in
funge da punto di contatto e super partes con l’Autorità quelle che svolgono attività che
Garante nazionale. Compito del DPO è verificare l’attua- prevedono il trattamento di da-
zione e l’applicazione di tutte le direttive del regolamen- ti sensibile è obbligatorio.
to.
Data protection by design:
L’obbligo di trattare i dati secondo una progettazione by design, ovvero lungo tutto il ciclo di vita dei dati,
è un requisito cruciale per il Regolamento Generale in materia di Protezione di Dati poiché le aziende de-
vono garantire l’inviolabilità dei dati dei loro utenti e clienti da accessi non autorizzati o non previsti dalla
legge. Per le aziende ciò significa uniformarsi al regolamento già durante la fase di progettazione di un
software o nella scelta di un servizio, soluzione o sistema di terze parti che processa dati per loro conto.
Risulta imprescindibile il principio della tra-
Prima di utilizzare un qualsiasi servizio sparenza quando si definiscono i processi e i
o software in azienda, si deve analizza- sistemi utilizzati ai fini della protezione dei dati.
re la sua conformità al GDPR e come il Allo stesso modo, anche i servizi di fornitura
fornitore tratta i dati personali dei adottati in azienda devono essere trasparenti
riguardo il trattamento dei dati che analizzano
clienti. e archiviano di modo da poter fornire all’azien-
da e all’utente tutte le informazioni riguardo al ciclo di vita dei dati. Per esempio, la crittografia e il con-
trollo degli accessi sono esempi di misure che possono essere utilizzate per garantire la sicurezza.
Ancora, nella scelta dei fornitori è fondamentale sapere quali categorie di dati personali ver-
ranno elaborati nei loro processi, se i dati verranno utilizzati per profilazioni, dove verranno
archiviati i dati, chi ne detiene la proprietà, chi sia il responsabile del trattamento e, se del

Data protection by default:

L’altra faccia della medaglia è la progettazione by default che consiste nel garantire il livello adeguato di
sicurezza in tutte le configurazioni. La prima premessa che si stabilisce è che le aziende devono tratta-
re solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il pe-
riodo di tempo strettamente necessario a tali scopi. Ne consegue che le aziende devono progetta-
re il loro sistema e dunque i loro processi di trattamento dei dati garantendo la non eccessiva raccolta ed
elaborazione dei dati.

Risulta necessaria un’analisi dei cicli di vita dei dati in azienda e disabili-
tare API, librerie, servizi, software che possano minare il livello di sicu-
rezza e sostituirli con altri conformi e più sicuri.

Il data protection by design e by default impongono alle aziende di effettuare un’attenta analisi di tutti i
processi già posti in essere ed adeguarli alle nuove misure di sicurezza; inoltre si impone di effettuare una
valutazione di impatto ogni qual volta che l’azienda decida di avviare un progetto che prevede un tratta-
mento di dati.
Come prepararsi al GDPR con Kamzan?

Per essere in grado di adempiere alle disposizioni ed essere conforme e compliance al GDPR, le aziende
devono definire un percorso di adeguamento e poter dimostrare tutte le azioni implementate e quelle
solo definite ed in via di sviluppo che siano state inserite nel piano d’azione.
È importante quindi che ogni decisione inerente alle diverse azioni da adottare durante il percorso di ade-
guamento sia valutata in relazione alla compliance e all’accountability. Allo stesso modo anche tutti gli
strumenti, servizi e prodotti di partner o fornitori che si utilizzano in azienda o che faranno parte di tale
progetto di adeguamento siano ben analizzati dal punto di vista della sicurezza e del rispetto di tutti i re-
quisiti richiesti.

Per garantire l’utilizzo di un servizio adeguato e conforme ai requisiti del nuovo Regolamento è stato crea-
to Kamzan.
Kamzan è il sistema di sincronizzazione e condivisione dati aziendale conforme al nuovo Regolamento
poiché assicura un livello di sicurezza adeguato. In questo modo l’azienda avrà un sistema sicuro e
trasparente per ottemperare i requisiti del GDPR.

Per la tua sicurezza

Hai la proprietà esclusiva di tutti i dati caricati e condivisi
Tutte le tue informazioni non verranno mai cedute a terzi a
scopo di marketing
Hai un sistema sicuro con il tuo certificato SSL unico ed univoco

Per il tuo brand

Personalizzazione a 360 gradi del sistema sul tuo brand
Funzionalità ad hoc per la promozione del tuo brand
Diffondi la Quintessenza del tuo brand ad ogni condivisione che
effettui con il sistema

Per il tuo lavoro

Un sistema sync&share completo per la tua azienda
I tuoi file sempre disponibili ovunque con Kamzan per tutti i
tuoi device
Esperienza di collaborazione online e lavoro in team
Il processo di adeguamento con Kamzan
Il primo punto di partenza è l’Assessment, ovvero capire quali dati personali vengono detenuti, dove
vengono archiviati e lo scopo e finalità per cui i dati sono in possesso dell’azienda. In questa fase è inol-
tre importante fare pulizia dei dati non necessari e superflui o che risultano ormai obsoleti, sia dai propri
sistemi che in quelli della propria rete di partner e fornitori.

Le soluzioni di Kamzan:
Trasparenza sul trattamento della privacy: i dati caricati sul sistema restano di proprietà esclusiva
del cliente. I dati vengono archiviati e custoditi su server in Italia. L’unico scopo per cui vengono trattati
dati è per il corretto funzionamento del sistema di sincronizzazione e di condivisione file tra il cliente e i
suoi utenti.
Architettura iper-convergente: l’infrastruttura IT si basa su software che integra risorse di calcolo,
memorizzazione, networking e virtualizzazione rese disponibili su di un unico appliance. La struttura così
gestita, permette di evitare di spostare copie dei dati rendendola più sicura ed affidabile. Inoltre, è in
grado di eseguire flussi di lavoro secondari di dati, tra cui protezione dei dati, ripristino, test/sviluppo e
analisi direttamente sulla piattaforma.
Automazione dei periodi di retention: per soddisfare i requisiti di minimizzazione dei dati, Kamzan
ha politiche precise sulla cancellazione dei dati: infatti quando si esaurirà il rapporto contrattuale con il
cliente i dati possono essere automaticamente mantenuti, cancellati o portati a scadenza, in base a que-
ste politiche.
Identificare i dati personali con ricerca e analisi: in base a GDPR, le persone hanno il diritto di ri-
chiedere la cancellazione dei propri dati personali dai sistemi dell’azienda. In queste situazioni, Kamzan
identifica tutte le istanze che contengono i dati personali del richiedente per cancellarli.

Secondo step riguarda la GDPR responsibility, che obbliga l’azienda ad identificare chi all’interno, od
eventualmente terze parti, è coinvolto nel processo di Data Protection ed entra in contatto con i dati per-
sonali degli utenti. Ai fini della conformità quindi bisogna definire dei processi e procedure di sicurezza
condivise all’interno e all’esterno dell’azienda per la gestione dei dati personali.
Le soluzioni di Kamzan:
Filiera di partner e fornitori conformi: Kamzan sceglie con accuratezza i propri partner e fornitori e
si assicura che questi a loro volta rispettino i requisiti del GDPR.
Qualità del servizio: controllo della qualità del servizio a livello granulare per garantire una bassa la-
tenza e un volume di produzione elevato al carico di lavoro critico.
Trasferimento dei dati limitato: Kamzan e tutti i suoi partner e fornitori che sono coinvolti nel tratta-
mento dei dati dei clienti limitano il trasferimento dei dati al di fuori dell’Italia e dell’Europa per essere
conforme con i requisiti di geolocalizzazione dei dati personali dei clienti.
Protezione dei dati da accessi non autorizzati: Kamzan fornisce la crittografia AES –256 con grado
militare che consente la crittografia dei dati e la memorizzazione delle chiavi in una posizione separata
equivalenti alla pseudonimizzazione dei dati personali. Inoltre, garantisce che solo gli utenti autorizzati
abbiano accesso ai dati con l’autenticazione a due fattori TOTP.
Altro passaggio fondamentale nel processo di adeguamento è la formazione di coloro che gestiscono i
dati personali sui nuovi obblighi di legge e sulle procedure aziendali adottate. Risulta altrettanto impor-
tante la comunicazione di tali processi a tutti i collaboratori, interni ed esterni, sui rischi e sulle proce-
dure da eseguire. A tal fine l’azienda deve assicurarsi di avere le soluzioni idonee per non violare nessun
diritto del cittadino.
Le soluzioni di Kamzan:
Rispetto dei diritti del cittadino: Kamzan opera nel rispetto dei diritti sanciti dal Regolamento ed inol-
tre esplicita nel contratto con il cliente che i dati non verranno mai ceduti a terzi a scopi di profilazione,
commerciali o di marketing.
Data protection by design e by default: Oltre alle caratteristiche sopra elencate, Kamzan rispetta i
requisiti dettati della clausola 14 della Certificazione ISO/IEC27001-2013. Inoltre, per ogni cliente creia-
mo un protocollo TLS (un’evoluzione più sicura del protocollo SSL) ed un certificato unico ed univoco con
chiave di 2048 bit in lunghezza, che permette la crittografia fino a 256 bit, assicurando protezione e sicu-
rezza più elevate rispetto i competitors

Ultimo punto riguarda l’implementazione di un Data Breach Recovery Plan, ovvero processi e proce-
dure da attivare in caso di violazione dei dati. Le aziende devono possedere tecnologie in grado di identi-
ficare eventuale violazioni di dati (Data Breach) ed attivare procedure atte a porvi rimedio e alla dimo-
strazione documentale alle Autorità competenti entro 72 ore.
Le soluzioni di Kamzan:
Protezione contro la perdita di dati e ransomware: Kamzan fornisce la codifica e la replica delle
cancellazioni per garantire la capacità di recupero dei dati. Inoltre, per proteggere i clienti da perdite di
dati o da attacchi ransomware, Kamzan consente di risalire all’ultimo backup del sistema non infettato dal
malware con un recupero di dati fino a 120 giorni antecedenti.
Replica remota per disaster recovery e migrazioni: I servizi di disaster recovery applicati in
Kamzan includono la replica dei dati completa e completamente gestita che applica backup cloud affida-
bile per garantire un adeguato disaster recovery/ migration.

Il GDPR è alle porte, non farti trovare impreparato!

Inizia ad assicurare ai tuoi dati un luogo protetto e confor-
me al nuovo regolamento con Kamzan: il sistema di sincro-
nizzazione e condivisione file aziendale che custodisce i tuoi
dati e promuove il tuo brand.

Kamzan - Secure sharing loves brand | I tuoi dati in Italia, il tuo brand ovunque
Un Brand di Jinni S.r.l.
Via Mosè Bianchi, 71 - Milano, IT
Sede operativa: Via Corradino Sella, 10 13900 Biella, Italy, c/o SELLALAB
www.kamzan.com
hello@kamzan.com