ULTIMI AGGIORNAMENTI IN VISTA DELL’IMMINENTE ENTRATA IN VIGORE DEL GDPR E ALCUNE CONSIDERAZIONI SULLA GESTIONE DEI DATI IN CLOUD E SULLA SCELTA DI UN PROVIDER ADEGUATO
Il 21 marzo è stato approvato in via preliminare lo schema di decreto legislativo che consentirà di adeguare il quadro normativo italiano alle disposizioni del GDPR (General Data Protection Regulation), il Regolamento UE 2016/679 ormai prossimo all’entrata in vigore. Le nuove regole sul trattamento dei dati personali saranno pienamente applicabili dal 25 maggio 2018.
Tale adeguamento, approvato il decreto definitivo, permetterà all’Italia di abrogare il Codice privacy e le norme nazionali attualmente in vigore e incompatibili col GDPR e stabilire nuove norme su cui il Regolamento lascia libertà di decidere agli Stati membri dell’Unione Europea, purché siano rispettati i principi e le norme generali del Regolamento stesso. Ad esempio, l’art. 8 del GDPR premette agli Stati UE di decidere sul mantenimento o sull’introduzione di sanzioni penali per il mancato rispetto delle regole in materia di trattamento dei dati e rapporti con le Autorità di controllo. L’art. 9 u.c. lascia libertà decisionale sulla definizione delle condizioni di legittimità dei trattamenti.
Appena saranno costituite, lo schema di decreto sarà inviato alle Commissioni parlamentari e all’Autorità Garante per la protezione dei dati personali per acquisirne i pareri. Fatto ciò, il Governo potrà procedere alla definitiva approvazione del decreto.
GDPR E SCELTA DI UN CLOUD PROVIDER ALL’ALTEZZA DEL REGOLAMENTO
In vista dell’imminente entrata in vigore del GDPR, una delle considerazioni che aziende, imprese e professionisti dovranno affrontare è quella relativa al Cloud. Sebbene l’utilizzo di soluzioni Cloud per lo storage e la condivisione di dati e documenti digitali in ambito lavorativo non sia una novità, con l’entrata in vigore del GDPR diventa importante la scelta di un Cloud Provider in grado assicurare il rispetto delle nuove regole e misure di sicurezza adeguate.
Anzitutto, è importante avere garanzie sul luogo fisico in cui i dati saranno conservati. Se i server sono situati entro i confini dell’Unione Europea, è lecito presumere che il provider adotti misure conformi ai requisiti dettati dal GDPR, ma è consigliabile verificare prima l’entità e l’adeguatezza di tali misure consultando il sito web del Provider prescelto.
A differenza dell’attuale Codice Privacy, il GDPR non prevede un elenco tassativo e specifico di misure, ma in più passaggi indica la crittografia, o cifratura, dei dati e degli archivi come una tra le tecniche più efficaci per garantire una reale protezione delle informazioni. La crittografia, utilizzando un algoritmo di cifratura e una passphrase (come una password, ma più lunga e complessa), permette infatti di rendere i dati del tutto incomprensibili a chi non sia in possesso delle credenziali di autenticazione, che garantiscono invece l’accesso alle informazioni al titolare dei dati.
Sostenendo la cifratura dei dati gestiti su server di grandi dimensioni, sistemi per la gestione di credenziali, archivi contenenti dati personali e dati sensibili, il Legislatore europeo mira a far sì che nella odierna società dell’informazione tutti i dati “in chiaro” vengano “offuscati”. In questo modo avremmo un innalzamento generale della sicurezza dei sistemi coinvolti e della privacy degli utenti.
LA PROPOSTA INFOCERT PER UNA SOLUZIONE CLOUD GDPR COMPLIANT
Per offrire ad aziende, imprese e professionisti il miglior livello di privacy e protezione dei dati, in linea con gli obiettivi del GDPR, InfoCert propone un servizio di Cloud Storage che dà la possibilità di sincronizzare ed effettuare il backup dei dati su uno spazio virtuale in grado di offrire particolari caratteristiche di sicurezza, tra cui:
- il controllo di integrità dei dati, basato su un algoritmo brevettato InfoCert;
- un’area protette con un sistema di cifratura client-side.
Il controllo di Integrità tiene i dati al sicuro da modifiche, cancellazioni o ripristini di backup non autorizzati. L’area cifrata (SecureVault) permette all’utente di impostare un Codice di Cifratura (password) al quale nessuno, incluso InfoCert, può avere accesso. Grazie a questo, tutti i file inseriti all’interno di quest’area sono cifrati in locale sul dispositivo dell’utente prima di essere trasferiti in cloud.
11 aprile 2018