Requisiti GDPR

Riassunto e storia del GDPR

Il GDPR è stato concepito per sostituire l'obsoleta Direttiva sulla Protezione dei Dati del 1995. Con l'esplosione dei servizi digitali, dei social media e dei flussi di dati transfrontalieri, la vecchia direttiva non offriva più una protezione sufficiente.

Pietre miliari fondamentali

• 1995 - Viene istituita la Direttiva UE sulla protezione dei dati.
• 2012 - Viene presentata la prima proposta di riforma del GDPR.
• 2016 - Il GDPR viene adottato dal Parlamento europeo.
• 25 maggio 2018 - Il GDPR è entrato ufficialmente in vigore.

Il regolamento rappresenta un passo importante verso l'armonizzazione della protezione dei dati in tutti gli Stati membri dell'UE e il rafforzamento dei diritti delle persone nell'era digitale.

La sfida di conformarsi ai requisiti del GDPR

Quando il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea è entrato in vigore nel maggio 2018, ha segnato il cambiamento più significativo nella legge globale sulla protezione dei dati da decenni. Alle organizzazioni di tutto il mondo è stato improvvisamente richiesto di riesaminare il modo in cui trattano, proteggono e gestiscono i dati personali.

Qualsiasi azienda che elabora i dati personali dei residenti nell'UE, indipendentemente dalla sua ubicazione fisica, deve conformarsi al GDPR. Il regolamento garantisce ai residenti dell'UE nuovi diritti sui loro dati: il diritto di sapere come vengono utilizzati, il diritto di cancellarli e il diritto di dare o ritirare il consenso. Le aziende sono inoltre tenute a rispondere alle richieste degli interessati entro un mese.

Mentre le organizzazioni si adattano a questa realtà, un'area rimane particolarmente complessa: la gestione delle e-mail. Con l'e-mail che è ancora la spina dorsale della comunicazione aziendale - e il vettore di attacco numero uno per i criminali informatici - le organizzazioni hanno bisogno di soluzioni affidabili e scalabili per garantire la conformità al GDPR senza sovraccaricare i team IT.

Principi chiave del GDPR

Il Regolamento generale sulla protezione dei dati (GDPR) si basa su sette principi fondamentali che definiscono il modo in cui i dati personali devono essere raccolti, gestiti e protetti. Questi principi fungono da quadro di riferimento per la compliance e aiutano le organizzazioni a creare fiducia con i clienti, i dipendenti e le autorità di regolamentazione.

Legalità, equità e trasparenza

Il cuore del GDPR è l'aspettativa che le organizzazioni trattino i dati in modo lecito e corretto. Ciò richiede alle aziende di essere trasparenti su come raccolgono, utilizzano e condividono le informazioni personali. Le persone devono essere informate con un linguaggio chiaro e diretto sul motivo per cui i loro dati vengono elaborati e su come verranno salvaguardati.

Limitazione dello scopo

I dati personali possono essere raccolti solo per scopi specifici e legittimi. Una volta raccolti, non possono essere elaborati in modi che vadano oltre questi scopi originali. Questo impedisce alle organizzazioni di riutilizzare i dati in modo inappropriato o per obiettivi non dichiarati, rafforzando il rispetto della privacy individuale.

Minimizzazione dei dati

Le organizzazioni devono raccogliere e conservare solo i dati necessari per raggiungere lo scopo dichiarato. Questo principio scoraggia l'accumulo di informazioni personali non necessarie e limita l'esposizione in caso di violazione. Riducendo al minimo la raccolta dei dati, le organizzazioni riducono i rischi di conformità e rafforzano la sicurezza dei dati.

Precisione

Il GDPR sottolinea che i dati personali devono essere accurati e aggiornati. Le organizzazioni sono tenute a stabilire processi che correggano rapidamente le imprecisioni e impediscano l'archiviazione di informazioni obsolete. Questo protegge le persone dal potenziale danno causato da dati errati o fuorvianti.

Limitazione dell'archiviazione

I dati non devono essere conservati più a lungo del necessario. Le organizzazioni devono implementare piani di conservazione che definiscano quando i dati saranno eliminati o resi anonimi. La limitazione dell'archiviazione impedisce l'accumulo a lungo termine di informazioni personali, che possono creare rischi di conformità e costi di gestione dei dati non necessari.

Integrità e riservatezza

I dati personali devono essere elaborati in modo sicuro per evitare accessi non autorizzati, alterazioni o perdite. Questo principio comprende sia le salvaguardie tecniche, come la crittografia, sia le misure organizzative, come i controlli di accesso e il monitoraggio. Proteggere la riservatezza e l'integrità dei dati è fondamentale per la conformità e per mantenere la fiducia degli stakeholder.

Responsabilità

Infine, il GDPR richiede alle organizzazioni di assumersi la responsabilità delle loro pratiche sui dati. Responsabilità significa essere in grado di dimostrare la conformità a tutti i principi attraverso la documentazione, gli audit e la gestione proattiva del rischio. Rafforza l'idea che la conformità non è solo un requisito legale, ma anche un impegno per una gestione responsabile dei dati.

La suite di Email Archive, continuità e sicurezza delle e-mail di Mimecast supporta direttamente questi principi del GDPR. Grazie all'archiviazione a prova di manomissione, alla ricerca avanzata e all'applicazione automatica dei criteri, Mimecast aiuta le organizzazioni a mantenere l'accuratezza, l'integrità, la riservatezza e la responsabilità dei dati e-mail, una delle forme più critiche e fortemente regolamentate di comunicazione aziendale.

Ambito, sanzioni e definizioni chiave

Ambito di applicazione

Il GDPR si applica a:

• Tutte le organizzazioni che operano all'interno dell'UE.
• Organizzazioni extra-UE che trattano dati personali di residenti nell'UE.

Questa portata extraterritoriale significa che il GDPR è diventato un punto di riferimento globale per la protezione dei dati.

Sanzioni

Il regolamento prevede due livelli di multe:

• Fino a 10 milioni di euro o 2% del fatturato annuo globale per violazioni minori (ad esempio, cattiva tenuta dei registri).
• Fino a 20 milioni di euro o 4% del fatturato annuo globale per le violazioni più gravi (ad esempio, non ottenendo il consenso, gestendo in modo errato i dati sensibili o ignorando i diritti degli interessati).

Definizioni chiave

• Dati personali - qualsiasi informazione relativa a una persona identificabile (ad esempio, nome, indirizzo e-mail, indirizzo IP).
• Titolare del trattamento dei dati - l'entità che determina come e perché vengono elaborati i dati personali.
• Incaricato del trattamento - l'entità che elabora i dati personali per conto di un responsabile del trattamento.
• Soggetto interessato - la persona i cui dati personali vengono raccolti o elaborati.

I requisiti di conformità al GDPR spiegati

Per conformarsi al GDPR, le organizzazioni devono:

• Ottenere un chiaro consenso prima di raccogliere o elaborare i dati.
• Fornire alle persone l'accesso ai propri dati su richiesta.
• Consentire alle persone di richiedere correzioni o cancellazioni dei loro dati.
• Implementare misure di protezione dei dati personali, tra cui la crittografia e i controlli di accesso.
• Segnalare le violazioni dei dati entro 72 ore dalla scoperta.
• Mantenere registri dettagliati delle attività di elaborazione.
• Effettuare valutazioni d'impatto sulla protezione dei dati (DPIA) quando vengono identificati rischi elevati.
• Nominare un responsabile della protezione dei dati (DPO) quando necessario.

Questi requisiti richiedono sia modifiche alle politiche che soluzioni tecniche, rendendo le piattaforme SaaS come Mimecast fondamentali per la conformità.

Lista di controllo per la conformità al GDPR

Per soddisfare gli obblighi del GDPR, le organizzazioni devono affrontare molteplici dimensioni della protezione dei dati. Invece di un semplice elenco, il seguente quadro evidenzia le aree che i team IT, i responsabili della compliance e i leader aziendali devono considerare prioritarie.

Scoperta e mappatura dei dati

Il primo passo per la conformità è comprendere l'ambito dei dati personali in possesso dell'organizzazione. Le aziende devono identificare quali dati personali vengono raccolti, dove vengono archiviati e come vengono elaborati tra i vari sistemi. La mappatura dei flussi di dati, sia interni che esterni, crea le basi per la gestione del rischio e la dimostrazione della conformità agli enti regolatori.

Pratiche di consenso e conservazione

Il GDPR pone una forte enfasi sul consenso. Le organizzazioni devono implementare meccanismi di consenso chiari e opt-in, facili da comprendere e da revocare. Oltre al consenso, devono essere definite politiche di conservazione per garantire che i dati personali siano conservati solo per il tempo necessario. Stabilire i tempi per la cancellazione non solo è conforme alla normativa, ma riduce anche l'esposizione in caso di violazione.

Controlli di sicurezza e di accesso

Misure di sicurezza solide sono essenziali per essere pronti al GDPR. La crittografia, le strategie di backup e l'archiviazione sicura proteggono i dati personali dall'accesso non autorizzato o dalla perdita. Altrettanto importante è garantire agli interessati la possibilità di accedere facilmente alle loro informazioni. Le organizzazioni devono disporre di sistemi per rispondere prontamente alle richieste di accesso dei soggetti e fornire alle persone copie dei loro dati personali su richiesta.

Diritti delle persone e risposta agli incidenti

Il GDPR dà alle persone il diritto di richiedere la cancellazione dei propri dati. Le aziende devono stabilire processi affidabili per la gestione di queste richieste e per la rimozione dei dati negli archivi e nei sistemi attivi. Allo stesso tempo, un piano di risposta agli incidenti è fondamentale. Le organizzazioni sono obbligate a rilevare, indagare e segnalare le violazioni entro 72 ore, il che richiede preparazione e procedure di comunicazione definite.

Valutazioni del rischio e formazione

Le attività di elaborazione ad alto rischio richiedono un controllo supplementare. La conduzione di Valutazioni d'Impatto sulla Protezione dei Dati (DPIA) aiuta le organizzazioni a valutare i rischi potenziali e a prendere provvedimenti per mitigarli prima che si verifichino danni. A complemento di ciò, la formazione regolare dei dipendenti assicura che il personale comprenda le proprie responsabilità ai sensi del GDPR. I programmi di sensibilizzazione rafforzano la cultura della conformità e riducono la probabilità di violazioni accidentali.

Gestione dei fornitori e delle terze parti

La conformità non si esaurisce all'interno dell'organizzazione. Molte aziende si affidano a processori terzi e il GDPR richiede che questi partner soddisfino gli stessi standard di protezione. I programmi di gestione dei fornitori devono includere accordi contrattuali di trattamento dei dati (DPA) e controlli regolari per convalidare la conformità. Questo assicura che la responsabilità si estenda all'intero ecosistema dei dati.

Affrontando la preparazione al GDPR attraverso queste aree interconnesse, le organizzazioni possono costruire una solida posizione di conformità. Con soluzioni come l'Email Archive sicura, la protezione avanzata dalle minacce e gli strumenti di e-discovery automatizzati di Mimecast, i team IT ottengono il supporto necessario per implementare queste pratiche in modo efficiente e coerente.

Moduli e modelli GDPR

Per gestire la conformità in modo efficiente, le organizzazioni dovrebbero preparare moduli e modelli standardizzati in linea con il regolamento Gdpr e la guida della Commissione Europea, e mantenerli come parte di una solida governance dei dati, come ad esempio:

• Moduli di consenso - in cui viene esplicitamente indicato quali dati vengono raccolti e perché, facendo riferimento all'articolo del Gdpr pertinente e alle finalità legittime del trattamento dei dati.
• Moduli di richiesta di accesso ai dati (DSAR) - che consentono alle persone di richiedere l'accesso ai propri dati.
• Modelli di notifica delle violazioni dei dati - per garantire una comunicazione tempestiva alle autorità e alle persone interessate (un requisito fondamentale del Gdpr).
• Accordi di trattamento dei dati (DPA) - contratti formali tra il titolare del trattamento e gli incaricati del trattamento che definiscono le responsabilità per ogni attività di trattamento dei dati.

Mantenga una lista di controllo leggera sulla conformità al GDPR per confermare che ogni modulo/template includa i campi e i contatti richiesti. Mimecast supporta questi processi con strumenti di reporting e di e-discovery pronti per la compliance, semplificando la gestione delle DSAR e la preparazione degli audit, per aiutare i team a rimanere conformi al Gdpr e a rafforzare la sicurezza dei dati.

Protezione dei dati e lavoro a distanza

Il lavoro a distanza comporta maggiori sfide per la protezione dei dati:

• Reti non protette: i dipendenti che lavorano da casa possono connettersi tramite un Wi-Fi non sicuro.
• Shadow IT: l'uso di applicazioni non autorizzate può aggirare le politiche di conformità.
• Gestione dei dispositivi: i dispositivi personali possono essere privi di crittografia o di patch di sicurezza aggiornate e di controlli sulla sicurezza dei dati.

La conformità al GDPR richiede alle organizzazioni di estendere i controlli di sicurezza agli ambienti remoti. Mimecast aiuta fornendo:

• Accesso sicuro alla posta elettronica basata sul cloud da qualsiasi luogo, con il supporto di una solida sicurezza del cloud.
• Protezione avanzata dalle minacce contro gli attacchi di phishing che spesso prendono di mira i lavoratori remoti.
• Archiviazione centralizzata per applicare le politiche di conservazione indipendentemente dal luogo di lavoro dei dipendenti.

Perché la conformità proattiva al GDPR è importante

Il GDPR ha trasformato il panorama globale della protezione dei dati. La sua enfasi sulla trasparenza, sulla responsabilità e sui diritti individuali richiede alle organizzazioni di ripensare il modo in cui gestiscono le informazioni personali, in particolare nella posta elettronica, dove i dati sensibili vengono costantemente scambiati.

La conformità non è facoltativa. Le organizzazioni rischiano di subire conseguenze finanziarie, operative e reputazionali in caso di inadempienza (compreso l'aumento del rischio di violazione dei dati). Ma con la giusta strategia e tecnologia, la conformità al GDPR può essere raggiunta più facilmente, riducendo gli oneri amministrativi e rafforzando la fiducia dei clienti.

Mimecast fornisce alle organizzazioni gli strumenti avanzati di sicurezza, archiviazione e continuità delle e-mail necessari per soddisfare in modo efficiente gli obblighi del GDPR. Dalla difesa contro le minacce informatiche alla semplificazione delle richieste di dati personali, Mimecast consente ai team IT di mantenere la conformità e di concentrarsi sulla crescita del business.

Per le aziende che cercano un partner collaudato e fidato nella conformità al GDPR, Mimecast offre un impatto fin dal primo giorno - e una protezione continua per il futuro.