Security e Data Protection

Supporto tecnico-legale per la protezione dei dati e sicurezza per il tuo business

T.net è un partner esperto nell’ambito della Security e Data Protection, sia in termini tecnologici che procedurali e normativi, pronto a garantirvi la massima tranquillità nell’affrontare il percorso di adozione di tutti gli elementi necessari e sostanziali di adeguamento al General Data Protection Regulation (GDPR) – Regolamento (UE) 2016/679 e nell’individuare i rischi ed i limiti dei Vostri Sistemi Informativi.

 

La nostra consulenza ha lo scopo di accompagnarvi nel percorso iniziale che comprende l’analisi dei rischi, la redazione della documentazione, l’adeguamento delle infrastrutture e la formazione del personale, e poi nella fase di mantenimento in qualità di DPO o Responsabile della Sicurezza Informatica, nel caso non sia possibile nominare e qualificare una risorsa interna all’azienda.

 

I passaggi necessari per adottare le misure adeguate al GDPR sono: 1. Analisi dei Rischi; 2. Nomina dei Responsabili (tra cui il DPO); 3. Documentare le misure adottate (e tenerle sempre aggiornate); 4. Adeguare l’Infrastruttura; 5. Formare il Personale; 6. Informare l’Autorità, in caso di violazione dei dati.

Il percorso verso la conformità:
la consulenza T.net

 

1) Kick-Off

 

2) Assessment Iniziale

 

3) Risk Assessment

 

4) Gap Analysis

 

5) Consegna DPIA

 

6) Formazione Lettera Incarico Consapevolezza

GDPR Compliance – Prima Fase per rendersi conformi

1

Preliminare

Riunione preliminare
Direzione e Stakeholders;

Individuazione aree critiche
in base agli obiettivi.

2

Analisi e Mappatura

Mappatura dei dati da trattare;

Analisi dei rischi;

Valutazioni d’impatto Privacy su processi/progetti;

Analisi delle lacune procedurali e informatiche.

3

Roadmap

Roadmap competenze e ruoli;

Nomina del DPO (analisi);

Definizione priorità;

Definizione tempistiche;

Definizione documentazione necessaria.

4

Esecuzione

Nomine Titolare, Responsabili, DPO;

Documentazione;

Registro dei Trattamenti;

Supervisione su interventi;

Consulenza e Formazione.

CERTIFICAZIONI E PARTNERSHIP SICUREZZA

 

T.net S.p.A. è certificata ISO/IEC 27001:2013, 27017:2015 e 27018:2019, le norme che definiscono i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni).

 

T.net è Silver Partner di Fortinet e i componenti del proprio staff hanno acquisito le seguenti certificazioni: NSE7, NSE4, NSE3, NSE2, NSE1.

Il General Data Protection Regulation (GDPR) – Regolamento (UE) 2016/679 è la risposta dell’Unione Europea all’aumento esponenziale del ruolo che la tecnologia gioca oggi nella vita di tutti i giorni. GDPR è stato approvato dagli stati membri ad Aprile 2016 ed è entrato in vigore il 25 Maggio 2018.

 

Il GDPR introduce nuovi obblighi e sanzioni che impongono l’adozione di specifiche misure; in questo contesto le Imprese hanno la necessità di indirizzare correttamente gli investimenti verso strumenti procedurali e informatici che siano realmente compliant con la nuova normative, come redigere una Data Protection Impact Assessment (DPIA) e un Audit per affrontare una corretta gap analysis.

 

GDPR: a chi si applica?

• L’applicazione del GDPR non dipende dalla dimensione dell’impresa ma dalle attività di trattamento effettuate;

• Attività che presentano alti rischi che possono impattare sulle liberta e diritti dei terzi, siano esse portate avanti da SME o grandi Società, comportano i processi e le previsioni del Regolamento;

• Nel caso in cui i dati trattati avvengono su larga scala.

PUNTI CHIAVE DELLA NORMATIVA

 

Sanzioni fino a €20 mln o al 4% del fatturato worldwide. Esteso l’ambito territoriale, impatto anche per aziende extra UE;

 

Data Breach. Obbligo di comunicazione entro 72h (art. 29);

 

Privacy By Design. Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;

 

Codice di Condotta. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato può essere utilizzata come elemento per dimostrare le garanzie sufficienti.

Data Processor Officer (DPO): affidati a T.net

dataprocessorofficerIl GDPR introduce il concetto di «Data Processor» separandolo dal «Data Controller» (ex Titolare del Trattamento). Un «controller» è l’entità che determina le finalità, le condizioni e i mezzi di elaborazione dei dati personali, mentre il «processor» è un’entità che elabora dati personali per conto del controllore.

 

Il Data Processor è un ruolo ricoperto dalla maggior parte dei fornitori di Servizi Cloud. Se quindi la Direttiva UE finora in vigore poneva obblighi e sanzioni solo nei confronti del Titolare del trattamento dei dati personali (Data Controller), il GDPR impone invece anche ai Data processor, così come individuati dal titolare del Trattamento, di mettere in atto misure tecniche e organizzative per essere compliant al Regolamento stesso, in tutti i casi in cui affidi a terzi il trattamento dei dati personali.

 

DPO, sono obbligati ad averli:
– le autorità pubbliche;
– le organizzazioni che effettuano un monitoraggio sistematico su larga scala;
– le organizzazioni che impegnano l’elaborazione su larga scala di dati personali sensibili

 

Chi è il DPO
– per il grado di autonomia e terzietà, un professionista esterno, che aiuta il controller nel suo compito di legge (indipendenza, autorevolezza, competenze manageriali: si vedano art. 38 e 39);
– NON sostituisce il Controller, che resta a tutti gli effetti responsabile della compliance al GDPR;
– NON deve essere anche un «controller» di uno dei processi (ad es. NON essere il capo delle Risorse Umane o il Resp. IT);
– non deve essere un impiegato con un contratto a termine;
– non deve avere come riferimento un superiore/dirigente ma deve potersi rapportare direttamente al Top Management;

 

Cosa fa il DPO
– redige e aggiorna il DPIA;
– conduce gli Audit e «sensibilizza» il personale;
– da indicazioni al Controller e al Processore sui loro obblighi relativamente al GDPR;
– riceve comunicazione dagli Interessati dai trattamenti e li processa;
– coordina le riunioni in termini di Data Protection;
– coopera con le Autorità;
– deve avere una sua indipendenza ed un suo budget;
– deve avere la possibilità di effettuare audit;
– deve avere la possibilità di accedere a risorse per la formazione sua e del personale.

 

L’incarico dovrebbe avere la durata minima di 2 anni e non superare i 5 prevedendo un rinnovo e condizioni rigorosamente individuate per la revoca solo in casi estremamente gravi.

 

T.net è la scelta giusta per il ruolo di Data Processor Officer di Aziende Private e Pubbliche Amministrazioni

RICHIEDI UNA CONSULENZA – COMPILA IL FORM

Come vengono trattati i dati all’interno del tuo business? La tua infrastruttura informatica è al sicuro da minacce e vulnerabilità? Scopriamolo insieme!

 

Compila il form e verrai ricontattato per una consulenza tecnico-legale con l’obiettivo di comprendere lo stato attuale della tua azienda.

 

Autorizzo al trattamento dei dati come da Privacy Policy