In vigore da maggio 2016, in fase di attuazione da maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) dell'UE lascia ancora molte aziende a chiedersi: Siamo interessati? E se sì: come possiamo ottenere la certezza del diritto? E cosa possiamo fare per garantire la conformità alla protezione dei dati?

Loading...

Da maggio 2018, le aziende che gestiscono dati personali - e non sono poche - devono essere pronte a pagare un bel po' di soldi. Le sanzioni per le violazioni dei dati possono essere significative. E questo vale sempre se non rispettano pienamente i requisiti del nuovo GDPR. Inoltre, la nuova versione della legge federale tedesca sulla protezione dei dati(BDSG) integra e completa il GDPR. In questo caso, tuttavia, l'incertezza prevale ovunque:

  • Cosa si intende per "dati personali"?
  • Siamo un "soggetto responsabile" ai sensi del GDPR?
  • Chi è un "soggetto interessato"?
  • Cosa significa esattamente "trattamento automatizzato" dei dati personali?
  • Dobbiamo nominare un responsabile della protezione dei dati?

Quali misure devono essere implementate

L'elenco delle questioni di conformità alla protezione dei dati che devono essere affrontate è lungo.

È vero che la definizione dei termini utilizzati nel regolamento può essere trovata in elenchi di FAQ. Tuttavia, ciò non garantisce necessariamente chiarezza in merito al significato concreto per la singola azienda. Al più tardi quando si attende l'attuazione e il rispetto delle misure e dei doveri necessari (perché richiesti) da parte dei dipendenti, devono esserci le risposte giuste a tali domande, ad esempio:

  • Cosa sono le "misure tecnico-organizzative"?
  • Quando sono necessarie?
  • Che ne è della "proporzionalità"?
  • E i numerosi "controlli" richiesti dal GDPR, come i "controlli sull'accesso o sulla divulgazione"?
  • Come si può garantire la conformità alla protezione dei dati?

Protezione dei dati e sicurezza delle informazioni

In ogni caso, il passo giusto per un'azienda interessata è quello di istituire un efficace sistema di gestione della protezione dei dati - personalizzato, se necessario già in vista di una certificazione accreditata.

Spesso si fa confusione: La protezione dei dati e la sicurezza delle informazioni sono due paia di scarpe, anche se ci sono sovrapposizioni (ad esempio, diverse misure di controllo). Ad esempio, le aziende che dispongono di un sistema di gestione della sicurezza delle informazioni (ISMS) completamente completo, conforme alla norma ISO 27001 coprono in una certa misura il tema della protezione dei dati.

Ma anche in questo caso, rimane un divario che può essere scoperto e colmato con o senza un ISMS utilizzando un'analisi delle lacune.

"La differenza fondamentale tra i due argomenti: La sicurezza delle informazioni protegge i dati di un'azienda dall'uso improprio da parte di terzi; la protezione dei dati mira a proteggere i dati personali".

Nell'agosto 2019, con ISO 27701 è stato pubblicato un nuovo standard che formula i requisiti per la protezione dei dati nella gestione della sicurezza delle informazioni. La ISO 27701 specifica quindi un sistema di gestione della protezione dei dati basato su ISO 27001, ISO 27002 (guida per le misure di sicurezza delle informazioni) e ISO 29100 (quadro per la protezione dei dati). La ISO 27701 è un supplemento alla ISO 27001. La certificazione secondo il nuovo standard non è possibile da sola.

Conformità alla protezione dei dati - vantaggi

Ricevete

  • Informazioni affidabili sulle aree di intervento
  • Conoscenza del potenziale nascosto
  • Maggiore sicurezza d'azione e certezza giuridica nella gestione dei dati dopo l'implementazione delle misure appropriate.

In sicurezza - con un audit sulla protezione dei dati da parte di DQS

Le aziende che si sforzano di essere conformi alla normativa sulla protezione dei dati dovrebbero quindi fare due cose: familiarizzare il più rapidamente possibile con l'argomento o con i loro responsabili della compliance e far determinare lo status quo da un organismo indipendente come DQS sotto forma di un'analisi delle lacune.

L'obiettivo di un audit sulla protezione dei dati è un'autovalutazione con revisione dei documenti. L'azienda viene poi controllata in loco per determinare se è conforme agli aspetti essenziali della protezione dei dati. Un rapporto indica se è necessario intervenire e, in caso affermativo, quali azioni sono necessarie.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gap Analysis di DQS sulla protezione dei dati

Quanto lavoro occorre fare per una GAP Analysis ? Scopritelo gratuitamente e senza impegno.

Autore
Gert Krueger

Esperto e responsabile di progetto per la sicurezza delle informazioni, per BSI-KritisV e la protezione dei dati presso DQS. Inoltre, auditor storico per la gestione della qualità e dell'ambiente.

Loading...