Security and Data Protection

T.net is an experienced partner in the field of Data Security, both in technological and procedural terms and regulations, ready to guarantee you the utmost peace of mind in addressing the path of adoption of all the necessary and substantial elements of regulatory compliance. Moreover T.net help your business to find risks and limits of your IT System.

Our consultancy includes risk analysis, documentation writing, infrustructures adjustment and staff training. And then nominating an internal staff person as DPO or Head of IT Security.

Steps to adopt GDPR procedures are: 1) Risk Analysis; 2)  Appoint the persons responsible (as DPO); 3) Certificate and update adopted procedures; 4) Adjust Infrastructures; 5) Staff training; 6) Inform Authorities, in case of data breach.

GDPR Compliance – Phase One

1

Preliminar

Preliminar meeting with
Management and Stakeholders;

Detecting of critical areas,
according to targets.

2

Analysis and Mapping

Data Mapping;

Risk Analysis;

Impact Assessment Privacy on processes and projects;

Gap Analyss of procedures and IT System.

3

Roadmap

Roadmap skills and roles;

DPO Nominating (analysis);

Priority definition;

Timetable definition;

Necessary Documentation definition.

4

Execution

Data Controller, Responsible, DPO nominating;

Documentation writing;

Treatment Register;

Supervisions of interventions;

Consultancy and training.

SECURITY CERTIFICATION AND PARTNER

T.net S.p.A. is compliant with the ISO/IEC 27001:2013, 27017:2015 and 27018:2019 standard, which defines the requirements for ISMS (Information Security Management System)

T.net is Fortinet Silver Partner and its staff has these certifications: NSE7, NSE4, NSE3, NSE2, NSE1.

The General Data Protection Regulation (GDPR) – UE Regulation 2016/679 is the response of European Union to the exponential increase of technology in everyday life. The GDPR was approved in April 2016 by its member states and it became law on the 25 of May of 2018.

The GDPR introduces new duties and sanctions that oblige to adopt some specific measures; Companies have to address their investments to procedural and IT instruments compliant to the new regulation, such as the composition of a Data Protection Impact Assessment (DPIA) and an Audit to face a coherent gap analysis.

GDPR: to whom it applies?

• GDPR application does not depends on the dimension of the company, but on the treatment activities carried out;
• Activities that disclose high risks that can influence freedom of rights of third parties, from SME up to Enterprises, are subject of procedures and prevision of Regulation;
• In case of large scale treatment of data.

Data Processor Officer (DPO): choose T.net

Il GDPR introduce il concetto di «Data Processor» separandolo dal «Data Controller» (ex Titolare del Trattamento). Un «controller» è l’entità che determina le finalità, le condizioni e i mezzi di elaborazione dei dati personali, mentre il «processor» è un’entità che elabora dati personali per conto del controllore.

Il Data Processor è un ruolo ricoperto dalla maggior parte dei fornitori di Servizi Cloud. Se quindi la Direttiva UE finora in vigore poneva obblighi e sanzioni solo nei confronti del Titolare del trattamento dei dati personali (Data Controller), il GDPR impone invece anche ai Data processor, così come individuati dal titolare del Trattamento, di mettere in atto misure tecniche e organizzative per essere compliant al Regolamento stesso, in tutti i casi in cui affidi a terzi il trattamento dei dati personali.

DPO, sono obbligati ad averli:
– le autorità pubbliche;
– le organizzazioni che effettuano un monitoraggio sistematico su larga scala;
– le organizzazioni che impegnano l’elaborazione su larga scala di dati personali sensibili

Chi è il DPO
– per il grado di autonomia e terzietà, un professionista esterno, che aiuta il controller nel suo compito di legge (indipendenza, autorevolezza, competenze manageriali: si vedano art. 38 e 39);
– NON sostituisce il Controller, che resta a tutti gli effetti responsabile della compliance al GDPR;
– NON deve essere anche un «controller» di uno dei processi (ad es. NON essere il capo delle Risorse Umane o il Resp. IT);
– non deve essere un impiegato con un contratto a termine;
– non deve avere come riferimento un superiore/dirigente ma deve potersi rapportare direttamente al Top Management;

Cosa fa il DPO
– redige e aggiorna il DPIA;
– conduce gli Audit e «sensibilizza» il personale;
– da indicazioni al Controller e al Processore sui loro obblighi relativamente al GDPR;
– riceve comunicazione dagli Interessati dai trattamenti e li processa;
– coordina le riunioni in termini di Data Protection;
– coopera con le Autorità;
– deve avere una sua indipendenza ed un suo budget;
– deve avere la possibilità di effettuare audit;
– deve avere la possibilità di accedere a risorse per la formazione sua e del personale.

L’incarico dovrebbe avere la durata minima di 2 anni e non superare i 5 prevedendo un rinnovo e condizioni rigorosamente individuate per la revoca solo in casi estremamente gravi.

T.net is the right choice for Data Processor Officer of Private Companies and Public Administrations