Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Come conformarsi al GDPR: 10 passaggi chiave

Come conformarsi al GDPR: 10 passaggi chiave

Oct 21, 2021

Il General Data Protection Regulation (GDPR) è stato ideato per proteggere i dati personali dei residenti dell'UE regolando il modo in cui queste informazioni vengono raccolte, conservate, elaborate e distrutte. La legge sulla data security e privacy si applica a tutte le organizzazioni che raccolgono dati personali dei cittadini dell'Unione Europea, indipendentemente dalla loro ubicazione. Le sanzioni per la mancata conformità ai requisiti del GDPR sono severe.

Molte organizzazioni si trovano in difficoltà su come conformarsi al GDPR. In questo articolo, troverete 10 passaggi che aiuteranno la vostra azienda a raggiungere, mantenere e dimostrare la conformità ai requisiti del GDPR.

Come essere conformi al GDPR

1. Determinare se e come la legge si applica alla propria organizzazione.

La tua organizzazione è soggetta al GDPR?

Prima di tutto, determina se devi conformarti al GDPR. Per un semplice test del tornasole, considera se hai utenti o clienti che vivono nell'UE. Se la risposta è sì, devi implementare misure di conformità.

Per essere più specifici, ecco alcuni esempi di circostanze comuni che richiederebbero alla vostra organizzazione di conformarsi al GDPR:

  • Raccogliete o elaborate i dati dei residenti dell'UE.
  • Spedite nell'UE, menzionate l'UE sul vostro sito web o accettate pagamenti nella valuta dell'UE.
  • Offrite software, come un gioco o un'app, che raccoglie dati personali come parte del processo di registrazione, e il software è disponibile nell'UE

Sei un responsabile del trattamento o un titolare del trattamento dei dati?

Se il GDPR si applica a te, il tuo prossimo passo è determinare se sei un data processor o un data controller, poiché hanno obblighi di conformità diversi.

  • I responsabili del trattamento dei dati sono responsabili della protezione dei dati e i loro obblighi includono:
    • Ottenere il consenso
    • Governare l'accesso
    • Garantire la liceità dell'elaborazione dei dati
    • Trasparenza delle informazioni
    • Proteggere l'accuratezza
    • Garantire la riservatezza

Contenuti correlati selezionati:

  • Data processors collect and manipulate data. In some cases, this may be the data controller, but it may also be a third party or another service that analyzes the data. Processors have less autonomy over the data they process, but they still have obligations, including:
    • Elaborazione dei dati solo secondo le istruzioni del responsabile del trattamento
    • Stipulare un contratto vincolante con il processore
    • Non coinvolgere i sub-processori senza il consenso del responsabile del trattamento
    • Garantire la sicurezza dei dati
    • Notifying the controller of data breaches
    • Seguendo le linee guida sulla responsabilità
    • Seguendo i protocolli internazionali di trasferimento
    • Collaborazione con le autorità

Di quali dati hai bisogno di proteggere?

Infine, determinate quali dati il GDPR richiede di proteggere. Ai sensi del GDPR, i dati personali sono definiti come “qualsiasi informazione relativa a una persona fisica vivente, identificata o identificabile”. Questo include tutte le informazioni che potrebbero essere utilizzate per identificare una persona, come:

  • Nomi
  • Dati di localizzazione
  • Identificatori online
  • Origine razziale o etnica
  • Credenze religiose
  • Opinioni politiche
  • Informazioni sulla salute
  • Vita sessuale
  • Dati genetici
  • Dati biometrici come impronte digitali o riconoscimento facciale

2. Assegnare ruoli e responsabilità.

Alcuni dei nuovi ruoli che potresti necessitare per la conformità includono:

  • Responsabile della conformità
  • Project manager
  • Responsabile della protezione dei dati (DPO) — Ai sensi dell'Articolo 37, è necessario designare un DPO se si è un'azienda pubblica, le attività principali della vostra azienda implicano la gestione dei dati, o la vostra azienda elabora e conserva grandi quantità di dati personali appartenenti ai cittadini dell'UE.

Definire i ruoli e le responsabilità per capire quali possono essere ricoperti dal personale attuale e quali richiederanno nuove assunzioni.

Suggerimento: Dedicate tempo a ottenere il sostegno del vostro team di gestione o del consiglio di amministrazione perché sarà necessario allocare risorse. Assicuratevi che i membri comprendano i rischi derivanti da misure di protezione dei dati insufficienti e i benefici della conformità al GDPR.

3. Scegli uno o più framework.

Conformarsi al GDPR può essere più semplice se si segue un quadro che aiuta ad implementare le migliori pratiche fondamentali per ridurre i rischi per la sicurezza e la privacy dei dati nei propri sistemi e servizi. Non esiste un quadro perfetto, ma ci sono vari quadri che possono aiutare a conformarsi ai diversi aspetti del GDPR. Essi includono:

  • ISO 27001 — Un framework di sistema di gestione della sicurezza delle informazioni (ISMS) che aiuta a ridurre il rischio di una violazione
  • ISO/IEC 27701:2019 — Un'estensione di ISO/IEC 27001 focalizzata sulla privacy dei dati
  • NIST Privacy Framework — Un framework che aiuta a identificare e gestire i rischi per la privacy
  • NIST 800-30 Risk Assessment Framework — Una guida per condurre valutazioni del rischio (che verranno discusse di seguito)
  • NIST 800-53 Security and Privacy Controls for Information Systems and Organizations — Un catalogo di controlli di sicurezza e privacy per sistemi informativi e organizzazioni per proteggersi contro molti tipi diversi di rischi
  • BS 10012 Gestione delle Informazioni Personali — Un quadro per la gestione delle informazioni personali
  • Framework PCI DSS— Un framework utilizzato per proteggere i dati delle carte di pagamento dei consumatori
  • NIST Cybersecurity Framework — Un framework che aiuta le organizzazioni a misurare la maturità dei loro sistemi di cybersecurity e di gestione del rischio e a identificare i passi per rafforzarli

4. Eseguire valutazioni dei rischi.

Eseguire valutazioni dei rischi è un componente essenziale per conformarsi all'articolo 32 e all'articolo 35 del GDPR.

Contenuti correlati selezionati:

This is accomplished with a Data Protection Impact Assessment (DPIA), which is a method of analyzing, identifying and minimizing the data protection risks of a project. You must conduct a DPIA before you begin data processing that is likely to result in a high risk to personal data. Examples of high-risk processes include:

  • Utilizzando una nuova tecnologia o impiegando una tecnologia esistente in un modo nuovo
  • Decisioni automatizzate che potrebbero portare alla negazione dei servizi
  • Monitoraggio su larga scala di luoghi pubblici o altro profiling su larga scala
  • Elaborazione di dati biometrici utilizzati per identificare un individuo
  • Elaborazione dei dati genetici, a meno che non sia effettuata da un fornitore di assistenza sanitaria individuale per la cura del soggetto dei dati
  • Abbinamento o combinazione di dati personali da molteplici fonti
  • Elaborazione di dati che non sono stati ottenuti dal soggetto dei dati
  • Tracciamento della geolocalizzazione o del comportamento di un individuo, online e offline
  • Elaborazione dei dati dei minori per marketing, profilazione, decisioni automatizzate o offerta di servizi
  • Elaborazione di dati che potrebbero causare danni fisici a una persona se venissero divulgati

Questo elenco non è esaustivo; spetta a voi decidere se effettuare una DPIA per processi che non sono specificatamente menzionati nell'Articolo 35. In caso di dubbio, è meglio farne una. Idealmente, una DPIA verrà eseguita durante la fase di pianificazione di un progetto e vi aiuterà a decidere se c'è un rischio e come mitigarlo.

Un DPIA dovrebbe fare tutto quanto segue:

  • Identificate la necessità di una DPIA spiegando l'obiettivo del vostro progetto e il tipo di elaborazione coinvolto
  • Descrivi l'elaborazione, inclusa la sua natura, portata, contesto e scopo
  • Coinvolgere i portatori di interesse rilevanti o spiegare perché non è necessario
  • Valutare la necessità e la proporzionalità, inclusi la liceità e la minimizzazione dei dati
  • Identificare e valutare i rischi
  • Identificare misure per ridurre i rischi
  • Includere approvazioni e registrare i risultati

Dopo aver completato una DPIA, dovresti implementare le misure identificate nel tuo progetto e continuare a rivederle per tutta la durata del progetto. Per maggiori informazioni su come eseguire una DPIA, leggi questo articolo.

5. Stabilire una governance dei dati.

La governance dei dati riguarda le politiche e i processi relativi all'uso appropriato dei dati personali man mano che entrano ed escono dalla vostra organizzazione. Le procedure di governance dei dati assicurano che vengano mantenuti standard elevati per l'intero ciclo di vita dei vostri dati. Il vostro processo di governance dei dati deve anche soddisfare i requisiti dell'Articolo 30 che si riferiscono ai registri delle attività di trattamento.

La vostra strategia di data governance dovrebbe includere quanto segue:

  • Un inventario dei dati che fornisce un registro di tutte le fonti di dati della vostra azienda, quali dati vengono raccolti e come, e cosa ne accade
  • Netwrix Data Classification, che raggruppa i dati in tipologie in modo che possano essere protetti in conformità con il loro valore e sensibilità
  • Strategie per garantire che i tuoi processi di raccolta dati siano leciti, equi e trasparenti
  • Metodi per mantenere aggiornati i registri del trattamento dei dati personali
  • Procedure per eseguire una DPIA ogni volta che l'elaborazione dei dati è probabile che comporti un alto rischio, come descritto sopra
  • Documenti che sono in forma scritta, inclusa la forma elettronica
  • Registri che sono disponibili alle autorità di vigilanza quando richiesti

6. Implementare i controlli appropriati.

Il GDPR non specifica i controlli necessari per la conformità, ma stabilisce che è necessario implementare misure per affrontare la “sicurezza del trattamento”:

  • Utilizza gli strumenti software più aggiornati per proteggere i dati dei clienti.
  • Documentare la natura, lo scopo e l'ambito dell'elaborazione dei dati.
  • Separare i dati e applicare misure di sicurezza adeguate al rischio.
  • Cifrare e pseudonimizzare i dati quando possibile.
  • Rendi i dati disponibili al soggetto dei dati.
  • Proteggi i dati personali dall'essere letti o manomessi da utenti non autorizzati.
  • Testate regolarmente e valutate l'efficacia dei vostri controlli.
  • Considera tutti i rischi quando gestisci o elabori i dati.

La gestione dei controlli di sicurezza, come la maggior parte degli altri aspetti della conformità al GDPR, è un processo continuo. Una volta implementati i tuoi controlli, dovrai eseguire regolarmente audit delle tue attività di elaborazione dei dati e dei controlli di sicurezza. Cerca una soluzione software che automatizzi la gestione del maggior numero possibile di controlli di sicurezza.

7. Garantire i diritti del soggetto dei dati.

Avrete anche bisogno di politiche per sostenere i diritti dei soggetti dei dati — le persone i cui dati raccogliete. In particolare, avete bisogno di un piano su come gestirete quanto segue:

  • Raccolta e verifica delle richieste di accesso del soggetto dei dati (DSARs)
  • Rispondere alle DSAR entro un mese per evitare costose penalità
  • Politiche di gestione del consenso che includono la raccolta, la conservazione e la cancellazione dei dati
  • La vostra politica sui cookie, inclusi i moduli di consenso e i metodi per modificare le preferenze dei cookie
  • Politiche e procedure per la gestione degli obblighi in caso di violazione dei dati personali, inclusa la rilevazione, la segnalazione e l'indagine delle violazioni

8. Creare e mantenere i documenti richiesti.

Diversi articoli del GDPR richiedono di creare una documentazione che descriva come memorizzate ed elaborate i dati. Il GDPR non impone come dovreste nominare i vostri documenti, quindi potreste scegliere titoli diversi da quelli mostrati di seguito. Inoltre, alcuni documenti possono essere combinati se appropriato. Ecco un elenco dei documenti di cui avrete bisogno:

  • Politica di protezione dei dati personali (Articolo 24) — Descrive come viene gestita la privacy nella vostra azienda
  • Informativa sulla privacy (Articoli 12,13,14) — Descrive come vengono trattati i dati personali
  • Informativa sulla privacy dei dipendenti (Articoli 12, 13 e 14) — Spiega come vengono trattati i dati personali dei dipendenti
  • Politica di conservazione dei dati (Articoli 5, 13, 17 e 30) — Descrive il processo di decisione sulla durata di conservazione dei dati e sulle modalità di distruzione
  • Piano di conservazione dei dati (Articolo 30) — Elenca i dati regolamentati e spiega per quanto tempo verrà conservato ogni tipo di dato
  • Mappatura del flusso di dati (Articolo 30, 25, 6, 28, 35) — Mappa il flusso delle informazioni
  • Modulo di consenso dell'interessato (Articoli 6, 7 e 9) — Utilizzato per ottenere il consenso al trattamento dei dati personali
  • Accordo di elaborazione dei dati del fornitore (Articoli 28, 32 e 82) — Descrive le misure di protezione dei dati richieste ai processori e ad altri fornitori
  • Registro DPIA (Articolo 35) — Documenta i risultati delle DPIA
  • Procedura di risposta e notifica di violazione dei dati (Articoli 4, 33 e 34) — Descrive le procedure da eseguire prima, durante e dopo una violazione dei dati
  • Registro delle violazioni dei dati (Articolo 33) — Registra tutte le violazioni dei dati
  • Modulo di notifica di violazione dei dati all'Autorità di controllo (Articolo 33) — Il modulo che si utilizza per notificare all'Autorità di controllo una violazione dei dati
  • Modulo di notifica di violazione dei dati ai soggetti interessati (Articolo 34) — Il modulo che si utilizza per notificare ai soggetti interessati una violazione che coinvolge le loro informazioni private
  • Inventario delle attività di trattamento (Articolo 30) — Un inventario che deve essere mantenuto dal responsabile del trattamento
  • Descrizione del lavoro del Data Protection Officer (Articoli 37, 38 e 39) — Dettaglia le responsabilità del tuo DPO (necessario solo se sei tenuto ad avere un DPO)

Crea e pubblica documenti pubblici.

Il GDPR richiede alle organizzazioni di rendere pubbliche le seguenti informazioni in un linguaggio chiaro e di facile comprensione:

  • Politica sulla privacy
  • Politica di conservazione dei dati
  • Termini di trasferimento dei dati in altri paesi
  • Politica di protezione dei dati
  • Informazioni di contatto, incluso come contattare il tuo DPO se ne hai uno
  • Termini di utilizzo
  • Politica di pagamento & politica dei cookie

9. Formate i vostri dipendenti.

Formare il personale è una regola fondamentale per la conformità al GDPR. Seguire i regolamenti non è solo una questione IT. Avrete bisogno di una strategia di comunicazione e formazione completa che includa tutti, a ogni livello dell'azienda.

Inoltre, la formazione non dovrebbe essere vista come una soluzione una tantum. Dovrebbe iniziare dalla cima dell'azienda con un focus sulla creazione di una cultura della conformità. La formazione online dovrebbe essere integrata con un'educazione specifica basata sul ruolo, mirata alle responsabilità di ogni dipartimento e alle aree di rischio.

10. Eseguire regolarmente analisi delle lacune e rimedi.

Un'analisi delle lacune valuterà le tue misure attuali rispetto agli standard di conformità. Ti fornirà una comprensione più approfondita dei passaggi che devi intraprendere per implementare i processi, i controlli e le altre misure necessarie a garantire la conformità.

Una GDPR compliance checklist può fornire un punto di partenza. Un altro modo per ottenere informazioni sulle aree che potrebbero non essere conformi nella tua organizzazione è monitorare i motivi per cui altre aziende vengono multate per non conformità.

Multa per violazioni del GDPR

Il mancato rispetto del GDPR può comportare pesanti multe: fino a 24,1 milioni di dollari o il 4 percento del fatturato globale annuo dell'azienda, a seconda di quale sia maggiore.

Ci sono circostanze attenuanti e aggravanti che influenzano l'importo della multa. Le violazioni intenzionali sono punite più severamente di quelle per negligenza. Segnalare le violazioni il più presto possibile e cooperare con le autorità sono circostanze attenuanti. Violazioni più gravi, come quelle che coinvolgono i diritti e il consenso degli interessati, sono soggette a multe più elevate.

Ecco alcune delle multe più elevate imposte fino ad oggi:

  • H&M Clothing— Questa azienda svedese è stata multata per 41 milioni di dollari per aver registrato riunioni dei dipendenti e aver reso le registrazioni accessibili a oltre 50 manager. I dati sensibili ottenuti da queste registrazioni venivano utilizzati per valutare le prestazioni dei dipendenti e prendere altre decisioni di lavoro.
  • Google— Google è stata multata per 56,6 milioni di dollari per violazioni relative al modo in cui fornivano le notifiche sulla privacy e come richiedevano il consenso per utilizzare i dati personali per la pubblicità personalizzata e altri trattamenti dei dati. Questa multa avrebbe potuto essere evitata se Google avesse fornito più informazioni e dato agli interessati più controllo sul modo in cui venivano utilizzate le loro informazioni. L'appello di Google non ha avuto successo.
  • Amazon — La multa di 877 milioni di dollari di Amazon è la più alta mai registrata, con un fattore di 15. La violazione riguardava il consenso all'uso dei cookie, e non era la prima volta che Amazon veniva multata per questo, il che probabilmente è uno dei motivi per cui la multa è stata così ingente. Il modo migliore per evitare multe relative ai cookie è ottenere un consenso libero, informato e chiaro prima di installare qualsiasi cookie sul dispositivo di un utente.

Come può Netwrix aiutare?

Con le soluzioni Netwrix, puoi raggiungere, mantenere e dimostrare la GDPR compliance con meno sforzo e spese oggi. Prodotti Netwrix:

Domande Frequenti

1. Cosa è necessario per la conformità al GDPR?

Il GDPR richiede alle imprese di implementare misure per proteggere la privacy dei dati personali dei residenti dell'UE.

2. Come dimostrate di essere conformi al GDPR?

È necessario fornire documenti specifici che dimostrino che si aderisce ai principi di protezione dei dati, si conducono DPIA come richiesto, si hanno i ruoli di lavoro necessari assegnati, si è pronti a segnalare tempestivamente le violazioni della sicurezza, e così via.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Mike Tierney

Ex Vicepresidente del Successo Cliente

Ex Vicepresidente del Successo Clienti presso Netwrix. Vanta un background variegato costruito in oltre 20 anni nell'industria del software, avendo ricoperto ruoli di CEO, COO e VP Product Management in diverse aziende focalizzate sulla sicurezza, conformità e sull'aumento della produttività dei team IT.

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza