GDPR e la protezione dei dati fin dalla progettazione (privacy by design)

Se la tua organizzazioni raccoglie e tratta i dati personali di persone residenti nell’Unione Europea, allora deve rispettare i nuovi requisiti ed obblighi introdotti dal GDPR (Regolamento generale sulla protezione dei dati).

Una parte del processo di adeguamento alla normativa riguarda la gestione dei database, dato che solitamente sono il metodo più usato per archiviare i dati personali o riservati.

Per capire come adeguare i database al Regolamento, bisogna capire il concetto di protezione dei dati fin dalla progettazione descritto dall’Articolo 25 della normativa.

Protezione dei dati fin dalla progettazione – anche conosciuta come privacy by design – significa che non è sufficiente aggiungere funzionalità al database già in uso per soddisfare i requisiti normativi, ma è necessario che la protezione dei dati venga presa in considerazione fin dall’inizio del processo di progettazione dei sistemi.

In pratica, come si fa?

Per prima cosa, identifica i tuoi dati

Probabilmente i tuoi dati sono archiviati in numerosi posti e dispositivi. È anche possibile che siano archiviati su sistemi legacy o su backup di cui non si è nemmeno a conoscenza della loro esistenza. Nel progetto di adeguamento al GDPR, è importante che tu identifichi e consideri tutti i posti nei quali i dati personali sono archiviati, per evitare che siano esposti a potenziali rischi. Quindi, la prima cosa che devi fare è creare una mappa dei tuoi dati, utilizzando un software di mappatura dei dati.

Cos’è la mappatura dei dati?

La mappatura dei dati è un procedimento che ti consente di identificare le informazioni che la tua organizzazione conserva e come esse si spostano da un posto all’altro, sia dall’esterno all’interno dell’organizzazione, che viceversa.

Mappando il flusso dei dati, sarai in grado di scoprire il metodo di trattamento dei dati più efficace ed idoneo ai tuoi scopi, e di identificare eventuali dati che raccogli ma non utilizzi o che non dovresti raccogliere.

La mappatura dei dati ti permette di identificare i seguenti elementi:

  • I dati stessi (per esempio, nomi, indirizzi e-mail, ecc.)
  • Il formato con il quale sono conservati (per esempio, moduli cartacei o elettronici, database, ecc)
  • Il metodo di trasferimento (per esempio, via telefono, via e-mail, via posta)
  • I posti dove sono archiviati (per esempio, uffici, Cloud, terze parti)

Inoltre, ti permette di identificare chi ha accesso ai dati e chi ne è responsabile.

Detta così sembrerebbe un compito complicato da eseguire, ma non è detto che lo sia. Con gli strumenti giusti ed un po’ di preparazione, il processo può essere relativamente semplice.

Per maggiori informazioni sulla mappatura dei dati, scarica il libro verde gratuito Come mappare i flussi dei dati nell’ambito del GDPR, oppure guarda il webinar Conducting a data flow mapping exercise under the GDPR.

Come mappare i flussi dei dati nell’ambito del GDPR

Conducting a data flow mapping exercise under the GDPR

Il webinar contiene una dimostrazione del nostro software di mappatura dei dati, il Data Flow Mapping Tool.

Poi, limita l’accesso ai tuoi dati

Per mitigare il rischio di una violazione dei dati (non si parla solamente di furto di dati, anche la distruzione accidentale, l’accesso non autorizzato, la perdita, l’alterazione e la divulgazione rientrano sotto l’aspetto di “violazione”), è necessario impostare i controlli di accesso ai dati per assicurarsi che solo le persone autorizzate possano accedervi.

Ed infine, ricorri alla pseudonimizzazione e crittografia

La pseudonimizzazione e la crittografia sono due misure tecniche per garantire la protezione dei dati. La prima maschera i dati sostituendo le informazioni che identificano la persona fisica (l’interessato) con degli identificatori artificiali. Sebbene sia fondamentale per la protezione dei dati (è menzionata ben 15 volte nell’intero testo del GDPR), la pseudonimizzazione ha i suoi limiti. Per questo motivo, il GDPR raccomanda anche l’uso della crittografia.

La crittografia oscura le informazioni stesse sostituendo gli identificatori con qualcos’altro. Ma mentre la pseudonimizzazione consente a chiunque abbia accesso ai dati di visualizzare una parte del set di dati, la crittografia consente solo agli utenti autorizzati di accedere all’intero set di dati.

La crittografia e la pseudonimizzazione possono essere usate contemporaneamente o singolarmente.

Per maggiori informazioni su come proteggere i dati personali trattati dalla tua azienda, visita le pagine informative di IT Governance oppure parla con uno dei nostri esperti di protezione dei dati. Sarà lieti di rispondere alle tue domande, senza impegno.

Parla con un esperto

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.