Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
me prepararsi in azienda
Il GDPR è il nuovo regolamento approvato dal Parlamento e dal Consiglio Europeo per la protezione dei
dati personali dei cittadini nell’epoca digitale.
L’obiettivo è quello di regolamentare come le aziende raccolgono, elaborano e distruggono
dati personali degli utenti.
Inoltre secondo Terzi, l’ambasciatore e ministro degli esteri, con il Regolamento sulla protezione dei dati –
il GDPR che entra in vigore dal 25 Maggio 2018 – l’Unione Europa sta cercando le premesse per un’evolu-
zione molto significativa della sicurezza informatica, della collaborazione tra pubblico e privato, e della
interazione tra Paesi alleati per prevenire, resistere e contrastare gli attacchi informatici che aumentano
con un tasso di crescita del 20%.
Da recenti sondaggi è emerso che solo il 46% delle aziende italiane si dichiara essere pronto per applicare
tutte le misure di sicurezza previste dalla nuova normativa, ma l’88% precisa che restano ancora problemi
tecnici, legali e organizzativi da risolvere urgentemente per iniziare a proteggersi dagli eventuali attacchi.
Ecco il perché di questa guida: per aiutarti a comprendere meglio i diritti e i doveri contenuti
nel regolamento ed iniziare subito a rendere la tua organizzazione aziendale più sicura e con-
forme al GDPR.
Il GDPR è rivolto innanzitutto a tutti i cittadini europei a cui vengono riconosciuti dei diritti inviolabili; d’al-
tra parte i soggetti che recepiscono in modo più impattante le norme europee sono le aziende.
Infatti, le aziende che trattano dati personali, avrebbero dovuto, entro il 25 Maggio 2017, ob-
bligatoriamente uniformarsi al nuovo regolamento adottando soluzioni idonee, anche se la
normativa non prescrive specifiche tecnologiche. Resta dunque alle aziende l’onere di dimostrare di aver
fatto tutto ciò in loro possesso per recepire nella totalità il nuovo regolamento.
Nello specifico, le aziende che sono direttamente interessate al recepimento sono:
• Aziende che hanno una presenza fisica in almeno uno Stato dell’Unione Europea
• Aziende straniere che processano o memorizzano dati personali di cittadini Europei
• Aziende che utilizzano servizi di terze parti che processano o memorizzano dati perso-
nali di cittadini europei
La prima grande novità è che il GDPR pone un cambio di prospettiva rispetto alla disciplina della
privacy previgente, non contenendo più meri oneri burocratici, ma imponendo, al contrario,
di considerare la data protection come parte integrante e quotidiana di tutti i processi azien-
dali.
Si apre in questo modo una nuova pagina sul tema del rapporto tra privacy e trasparenza. Si pone un fo-
cus sulla tutela efficace della riservatezza dei dati dei cittadini e le aziende sono quindi tenute a compren-
dere l’importanza ed il valore dei dati, non solo di quelli dei loro clienti ma anche dei propri e dell’impor-
tanza dei danni economici legati alla perdita o alla violazioni di queste informazioni.
Quali sono i diritti e i doveri imposti dal nuovo regolamento?
Il GDPR definisce otto diritti del cittadino europeo nell’ambito della protezione dei dati personali definen-
dolo parte attiva del processo di gestione dei dati dandogli potere e facoltà di stabilire come e quando
possano essere usati i propri dati dalle aziende.
Questa prospettiva ha come diretta conseguenza Per le aziende che violeranno uno
una radicale modifica dei processi di raccolta,
trattamento e conservazione dei dati degli utenti
di questi diritti, sono previste san-
da parte delle organizzazioni aziendali, poiché zioni fino a:
tutte le aziende devono adottare misure di sicu-
rezza idonee a poter recepire nella totalità la
- 20 milioni di Euro
nuova normativa. - 4% del volume di affari globale
DIRITTI COSA SIGNIFICA PER GLI UTENTI COSA SIGNIFICA PER LE AZIENDE
Diritto di L’utente ha il diritto di sapere come i Mettere a punto un processo interno di fa-
essere informati suoi dati verranno raccolti, processati e cile lettura che fornisca dettagli su quali
archiviati e a quale scopo, ancora prima informazioni degli utenti vengono archiviate
Articoli: 12, 13, 14
che vengano raccolti. e a quale scopo. Prima della stessa raccolta
dei dati gli utenti devono essere informati.
Diritto di Dopo che i dati sono stati raccolti, l’u- Occorre implementare processi e abilità
accesso tente ha il diritto di accedervi e sapere tecniche in grado di:
come gli stessi vengono raccolti, proces-
Articoli: 12, 25 i. Tracciare nel sistema tutti i dati rela-
sati e archiviati e a quale scopo.
tivi ad ogni utente;
ii. Controllare se chi fa richiesta gode
del diritto di accesso;
iii. Fornire le informazioni richieste.
Diritto di L’utente può limitare l’utilizzo dei suoi Occorre implementare processi e abilità
limitazione dati in uso o bloccarne l’utilizzo. tecniche in grado di:
Articoli: 12, 18 i. Tracciare nel sistema tutti i dati rela-
tivi ad ogni utente;
ii. Controllare chi può gestire la richiesta
di limitazione;
iii. Notificare l’utente che ha fatto la ri-
chiesta ad avvenuta modifica.
Diritto di L’utente ha il diritto di vietare che i suoi Per adempire a questo obbligo le aziende
opposizione dati vengano utilizzati da Pubbliche Am- devono implementare ed attuare tutti i pro-
ministrazioni e Aziende che li elaborino cessi ed abilità tecniche sopra elencati.
Articoli: 12, 21
senza esplicito consenso.
Inoltre, il diritto si estende anche al di-
vieto che i propri dati siano inseriti in
liste di marketing.
Diritto di divieto L’utente ha il diritto di chiedere l’inter- Occorre implementare processi e abilità
all’automazione vento umano e non lasciare tutte le de- tecniche in grado di:
cisioni ad algoritmi o ad automazioni.
Articoli: 12, 22 i. Tracciare nel sistema tutti i dati rela-
tivi ad ogni utente che fa la richiesta;
ii. Gestire una richiesta relativa all’arti-
colo 22;
iii. Riconvertire una decisione automati-
ca dell’algoritmo;
iv. Fornire tutte le informazioni necessa-
rie ad una operatore in carne ed os-
sa.
I diritti appena esposti evidenziano come le Aziende avranno la necessità di adeguarsi per poter soddisfa-
re la richiesta di informazioni specifiche e dettagliate da parte degli utenti. Inoltre, a poter esercitare i
suddetti diritti non sono solo gli individui, ma in alcuni casi particolari, come situazioni identificate perico-
lose per la sicurezza, il diritto del singolo cittadino viene svolto da un’Autorità legale per supervisionare e
controllare i dati in elaborazione e l’operato dell’Azienda a cui si fa una specifica richiesta.
La violazione dei diritti spettanti ai cittadini europei da parte delle aziende sarà multata da sanzioni calco-
late sulla base del fatturato e potranno raggiungere fino al 4% delle entrate aziendali globali annuali.
Se i nuovi regolamenti GDPR fossero in vigore oggi, una violazione potrebbe costare a Fa-
cebook fino a 550 milioni di euro in base alle vendite del 2015. Non c’è da sorprendersi che, in un
sondaggio per valutare la preparazione delle organizzazioni al GDPR, il 42% ha affermato che la loro più
grande preoccupazione era la dimensione economica della potenziale multa.
Il Regolamento Generale in materia di Protezione di Dati impone una serie di requisiti legali, tecnici ed
amministrativi alle aziende ed organizzazioni che raccolgono, archiviano e processano dati personali. Una
categoria di questi requisiti, che riguardano la protezione dei dati e la loro gestione, sono particolarmente
rilevanti per chi usa piattaforme e servizi di archiviazione di dati.
I principali sono di seguito descritti:
Risulta necessaria un’analisi dei cicli di vita dei dati in azienda e disabili-
tare API, librerie, servizi, software che possano minare il livello di sicu-
rezza e sostituirli con altri conformi e più sicuri.
Il data protection by design e by default impongono alle aziende di effettuare un’attenta analisi di tutti i
processi già posti in essere ed adeguarli alle nuove misure di sicurezza; inoltre si impone di effettuare una
valutazione di impatto ogni qual volta che l’azienda decida di avviare un progetto che prevede un tratta-
mento di dati.
Come prepararsi al GDPR con Kamzan?
Per essere in grado di adempiere alle disposizioni ed essere conforme e compliance al GDPR, le aziende
devono definire un percorso di adeguamento e poter dimostrare tutte le azioni implementate e quelle
solo definite ed in via di sviluppo che siano state inserite nel piano d’azione.
È importante quindi che ogni decisione inerente alle diverse azioni da adottare durante il percorso di ade-
guamento sia valutata in relazione alla compliance e all’accountability. Allo stesso modo anche tutti gli
strumenti, servizi e prodotti di partner o fornitori che si utilizzano in azienda o che faranno parte di tale
progetto di adeguamento siano ben analizzati dal punto di vista della sicurezza e del rispetto di tutti i re-
quisiti richiesti.
Per garantire l’utilizzo di un servizio adeguato e conforme ai requisiti del nuovo Regolamento è stato crea-
to Kamzan.
Kamzan è il sistema di sincronizzazione e condivisione dati aziendale conforme al nuovo Regolamento
poiché assicura un livello di sicurezza adeguato. In questo modo l’azienda avrà un sistema sicuro e
trasparente per ottemperare i requisiti del GDPR.
Le soluzioni di Kamzan:
Trasparenza sul trattamento della privacy: i dati caricati sul sistema restano di proprietà esclusiva
del cliente. I dati vengono archiviati e custoditi su server in Italia. L’unico scopo per cui vengono trattati
dati è per il corretto funzionamento del sistema di sincronizzazione e di condivisione file tra il cliente e i
suoi utenti.
Architettura iper-convergente: l’infrastruttura IT si basa su software che integra risorse di calcolo,
memorizzazione, networking e virtualizzazione rese disponibili su di un unico appliance. La struttura così
gestita, permette di evitare di spostare copie dei dati rendendola più sicura ed affidabile. Inoltre, è in
grado di eseguire flussi di lavoro secondari di dati, tra cui protezione dei dati, ripristino, test/sviluppo e
analisi direttamente sulla piattaforma.
Automazione dei periodi di retention: per soddisfare i requisiti di minimizzazione dei dati, Kamzan
ha politiche precise sulla cancellazione dei dati: infatti quando si esaurirà il rapporto contrattuale con il
cliente i dati possono essere automaticamente mantenuti, cancellati o portati a scadenza, in base a que-
ste politiche.
Identificare i dati personali con ricerca e analisi: in base a GDPR, le persone hanno il diritto di ri-
chiedere la cancellazione dei propri dati personali dai sistemi dell’azienda. In queste situazioni, Kamzan
identifica tutte le istanze che contengono i dati personali del richiedente per cancellarli.
Secondo step riguarda la GDPR responsibility, che obbliga l’azienda ad identificare chi all’interno, od
eventualmente terze parti, è coinvolto nel processo di Data Protection ed entra in contatto con i dati per-
sonali degli utenti. Ai fini della conformità quindi bisogna definire dei processi e procedure di sicurezza
condivise all’interno e all’esterno dell’azienda per la gestione dei dati personali.
Le soluzioni di Kamzan:
Filiera di partner e fornitori conformi: Kamzan sceglie con accuratezza i propri partner e fornitori e
si assicura che questi a loro volta rispettino i requisiti del GDPR.
Qualità del servizio: controllo della qualità del servizio a livello granulare per garantire una bassa la-
tenza e un volume di produzione elevato al carico di lavoro critico.
Trasferimento dei dati limitato: Kamzan e tutti i suoi partner e fornitori che sono coinvolti nel tratta-
mento dei dati dei clienti limitano il trasferimento dei dati al di fuori dell’Italia e dell’Europa per essere
conforme con i requisiti di geolocalizzazione dei dati personali dei clienti.
Protezione dei dati da accessi non autorizzati: Kamzan fornisce la crittografia AES –256 con grado
militare che consente la crittografia dei dati e la memorizzazione delle chiavi in una posizione separata
equivalenti alla pseudonimizzazione dei dati personali. Inoltre, garantisce che solo gli utenti autorizzati
abbiano accesso ai dati con l’autenticazione a due fattori TOTP.
Altro passaggio fondamentale nel processo di adeguamento è la formazione di coloro che gestiscono i
dati personali sui nuovi obblighi di legge e sulle procedure aziendali adottate. Risulta altrettanto impor-
tante la comunicazione di tali processi a tutti i collaboratori, interni ed esterni, sui rischi e sulle proce-
dure da eseguire. A tal fine l’azienda deve assicurarsi di avere le soluzioni idonee per non violare nessun
diritto del cittadino.
Le soluzioni di Kamzan:
Rispetto dei diritti del cittadino: Kamzan opera nel rispetto dei diritti sanciti dal Regolamento ed inol-
tre esplicita nel contratto con il cliente che i dati non verranno mai ceduti a terzi a scopi di profilazione,
commerciali o di marketing.
Data protection by design e by default: Oltre alle caratteristiche sopra elencate, Kamzan rispetta i
requisiti dettati della clausola 14 della Certificazione ISO/IEC27001-2013. Inoltre, per ogni cliente creia-
mo un protocollo TLS (un’evoluzione più sicura del protocollo SSL) ed un certificato unico ed univoco con
chiave di 2048 bit in lunghezza, che permette la crittografia fino a 256 bit, assicurando protezione e sicu-
rezza più elevate rispetto i competitors
Ultimo punto riguarda l’implementazione di un Data Breach Recovery Plan, ovvero processi e proce-
dure da attivare in caso di violazione dei dati. Le aziende devono possedere tecnologie in grado di identi-
ficare eventuale violazioni di dati (Data Breach) ed attivare procedure atte a porvi rimedio e alla dimo-
strazione documentale alle Autorità competenti entro 72 ore.
Le soluzioni di Kamzan:
Protezione contro la perdita di dati e ransomware: Kamzan fornisce la codifica e la replica delle
cancellazioni per garantire la capacità di recupero dei dati. Inoltre, per proteggere i clienti da perdite di
dati o da attacchi ransomware, Kamzan consente di risalire all’ultimo backup del sistema non infettato dal
malware con un recupero di dati fino a 120 giorni antecedenti.
Replica remota per disaster recovery e migrazioni: I servizi di disaster recovery applicati in
Kamzan includono la replica dei dati completa e completamente gestita che applica backup cloud affida-
bile per garantire un adeguato disaster recovery/ migration.
Kamzan - Secure sharing loves brand | I tuoi dati in Italia, il tuo brand ovunque
Un Brand di Jinni S.r.l.
Via Mosè Bianchi, 71 - Milano, IT
Sede operativa: Via Corradino Sella, 10 13900 Biella, Italy, c/o SELLALAB
www.kamzan.com
hello@kamzan.com