Ben ritrovati al nostro appuntamento settimanale sul tema GDPR.
Come ben sapete ormai (lo sapete, vero?!) il GDPR si sta avvicinando; questo vuol dire che le aziende italiane devono prepararsi ad affrontare grossi cambiamenti interni riguardo al trattamento dei dati personali.
Ma oggi non staremo a ripetervi che dovete adeguarvi al Regolamento altrimenti beccherete multe salate, perché tanto lo sapete (lo sapete, vero?!).
Oggi vi parliamo di Vulnerability Assessment (V.A.).
Cos’è la V.A.?
Per prima cosa, la V.A. è un servizio per le aziende.
Questo servizio consiste nell’identificare e classificare le vulnerabilità che esistono all’interno di un sistema.
Grazie alla V.A. l’azienda è conscia di ciò che bisogna sistemare per proteggere i propri dati e può operarsi per farlo.
Questa analisi prevede report precisi e aggiornati ed i suoi risultati possono essere utilizzati per contribuire alla redazione dei Registri delle attività di trattamento e delle Valutazioni di impatto sulla protezione dei dati (entrambi obbligatori secondo il GDPR)
Perché bisogna effettuare una V.A.?
In realtà il punto non dovrebbe essere “farla o non farla” quanto “ho ancora il tempo di farla prima del 25 maggio?”.
Il GDPR nomina un’analisi dei rischi, con report aggiornati e precisi in diversi articoli, chi vi elenchiamo di seguito:
Articolo 30 Registro delle attività di trattamento
“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle
attività di trattamento svolte sotto la sua responsabilità”
Articolo 32 Sicurezza del trattamento
“Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:” “b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento”
“d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.”
Articolo 35 – Valutazione di impatto sulla protezione dei dati
“La valutazione contiene almeno: c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente
regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.
Articolo 39 Compiti del responsabile della protezione dei dati
Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: …b) sorvegliare l’osservanza del presente regolamento.
Articolo 57 Compiti [delle Autorità di controllo]
… sul proprio territorio ogni autorità di controllo: … h) svolge indagini sull’applicazione del presente regolamento…
Articolo 59 – Relazioni di attività
“Ogni autorità di controllo elabora una relazione annuale sulla propria attività, in cui può figurare un
elenco delle tipologie di violazioni notificate e di misure adottate a norma dell’articolo 58, paragrafo 2″…
Ma non ci dovremmo soffermare solo al rischio di incorrere nelle sanzioni determinate dal GDPR:
difendere i dati che detiene è un dovere che ogni titolare di azienda ha nei confronti dei suoi clienti e dipendenti.
I Datas Breaches che quotidianamente colpiscono a livello globale le aziende, possono provocare danni enormi. È un genere di problematica che norme come il GDPR stanno cercando di eliminare.
Effettuare una Vulnerability Assessment è quindi necessario, perché si tratta dell’unico modo per essere pienamente consapevoli dei rischi che corrono i propri sistemi.
Come fare per effettuare una V.A.
Essendo, come abbiamo detto, un servizio, la Vulnerability Assessment deve essere effettuata da aziende informatiche specializzate.
Conclusione
La V.A. è chiaramente una misura molto importante per evitare Data Breaches e attacchi ai propri sistemi. Purtroppo raramente se ne parla e ancora più raramente viene effettuata dalle aziende.
È importante che le aziende capiscano che qualche cambiamento, a volte, è necessario all’interno dell’ambito aziendale, soprattutto se entra in ballo la sicurezza.
Per prenotare una V.A. o per scoprire di più su come proteggere la tua azienda e come diventare GDPR-compliance contatta Tekapp.
Comments