Orientarsi nella protezione dei dati e nelle complessità normative

Le aziende raccolgono e gestiscono più dati che mai. Man mano che l'uso della tecnologia si espande in tutte le funzioni aziendali, questa marea di dati non fa che crescere.

Gli enti governativi e gli organismi di settore emanano e aggiornano continuamente i framework relativi alla protezione dei dati e alla privacy. Alcuni prevedono sanzioni importanti in caso di mancata osservanza, mentre altri propongono semplicemente delle linee guida da seguire. In ogni caso, in linea di massima l'obiettivo è comune: incoraggiare le aziende a seguire le best practice per la raccolta, l'archiviazione, la gestione e la protezione dei dati.

Anche se restare al passo con tutti i regolamenti relativi ai dati può sembrare complesso, non deve esserlo per forza. Ci sono molte sovrapposizioni tra le diverse normative e linee guida sulla protezione dei dati. Scopri come garantire la compliance ai regolamenti nuovi ed esistenti.

EBOOK

 

I principali regolamenti sulla protezione e sulla privacy dei dati

L'esistenza di numerose normative sulla privacy e sulla protezione dei dati crea spesso confusione. Ricordare tutti gli acronimi e il loro significato è già abbastanza difficile, ma conoscere tutti i dettagli, i requisiti e le conseguenze aumenta notevolmente la complessità.

È fondamentale capire che tutti i framework condividono principi e requisiti simili per la protezione dei dati. Per molti versi, sono complementari tra loro. Prima di esaminare i punti in comune, analizziamo alcuni dei principali regolamenti nel mondo:

Regolamento generale sulla protezione dei dati

Il Regolamento generale sulla protezione dei dati (GDPR) è uno dei più importanti atti normativi dedicati alla privacy e alla protezione dei dati in Europa. Disciplina le modalità con cui le aziende raccolgono, utilizzano e condividono i dati personali dei residenti nell'Unione europea (UE). Il GDPR è noto in tutto il mondo, soprattutto perché si applica a livello internazionale a tutte le aziende che trattano i dati dei residenti UE, e ha definito un parametro di riferimento per le sanzioni in caso di non conformità: fino al 4% del fatturato annuo o 20 milioni di euro, a seconda di quale sia il valore più alto.

WHITE PAPER

 

Direttiva sulle reti e sui sistemi informativi

La Direttiva sulle reti e sui sistemi informativi (NIS2) è un'espansione di una precedente direttiva UE sulla cybersecurity, la NIS1. Prevede che tutte le aziende che forniscono servizi o svolgono attività all'interno dell'UE, e sono considerate parte di un'infrastruttura essenziale, adottino e mantengano rigorose procedure di cybersecurity. Copre inoltre aspetti come la sicurezza perimetrale, l'accesso agli edifici, la gestione dei visitatori e il disaster recovery. Valuta il tuo sistema attuale con questa checklist.

WHITE PAPER

 

ISO 27001

ISO 27001 è il principale standard internazionale per la gestione della sicurezza delle informazioni. Stabilisce un framework con requisiti specifici per aiutare le aziende a gestire i rischi legati alla sicurezza delle informazioni e a proteggersi in modo efficace. Sebbene i requisiti ISO non siano obbligatori, molte aziende ottengono la certificazione per migliorare la gestione del rischio e mostrare ai partner commerciali e ai clienti che prendono sul serio la sicurezza dei dati. 

Regolamento sull'intelligenza artificiale dell'Unione europea

Il Regolamento sull'intelligenza artificiale dell'Unione europea (Regolamento UE sull'IA) disciplina le modalità di sviluppo e utilizzo dei sistemi AI. L'obiettivo è garantire che i sistemi di intelligenza artificiale presenti nell'UE siano sicuri, trasparenti, tracciabili, non discriminatori e sostenibili dal punto di vista ambientale. Il regolamento definisce diverse categorie di rischio per le applicazioni AI e prevede sanzioni per la mancata conformità fino a 35 milioni di euro o al 7% del fatturato annuo globale.

Altri esempi di normative sulla protezione dei dati e sulla privacy nel mondo

• The Data Protection Act, Regno Unito
• Personal Information Protection and Electronic Documents Act (PIPEDA), Canada
• Bundesdatenschutzgesetz (BDSG), Germania
• Lei Geral de Proteção de Dados (LGPD), Brasile
• Federal Act on Data Protection (FADP), Svizzera
• California Privacy Rights Act (CPRA), California, Stati Uniti
• Health Insurance Portability and Accountability Act (HIPAA), Stati Uniti

Blog

 

I principi fondamentali delle normative sulla protezione dei dati

Ogni legge, regolamento o direttiva ha requisiti specifici che possono o meno applicarsi alla tua azienda e alle tue attività. Tuttavia, se la tua azienda sta già investendo nella procedure legate alla protezione dei dati e alla privacy, o se sta pensando di farlo in modo proattivo, è probabile che tu sia sulla strada giusta per raggiungere la compliance.

Le aziende responsabili fanno la cosa giusta. Comprendono il valore e l'urgenza di mantenere al sicuro tutti i dati in loro possesso, sia che si tratti dei propri, sia che appartengano a fornitori, partner o clienti. Si impegnano a condurre valutazioni, investire negli strumenti e implementare processi in linea con i principi fondamentali della normative sulla protezione dei dati e sulla privacy. Non perché siano obbligate a farlo, ma perché sanno che in questo modo potranno mantenere la continuità aziendale e la fiducia di partner e clienti.

Quali sono i principi fondamentali di protezione dei dati alla base della maggior parte delle normative in materia? Ecco un breve riepilogo:

Autorizzazione alla raccolta e all'utilizzo

Devi ottenere le autorizzazioni corrette per la raccolta e l'utilizzo dei dati, in linea con uno scopo o un obiettivo legittimo.

Limitazione della conservazione e dell'utilizzo

Devi limitare i dati che conservi e utilizzare o memorizzare solo quelli necessari per soddisfare requisiti o obiettivi specifici.

Trasparenza e accuratezza

Devi essere trasparente sulle tue pratiche relative ai dati e assicurarti che le informazioni siano accurate in modo da poterle gestire correttamente.

Protezione e sicurezza

Devi adottare misure adeguate per proteggere e mettere al sicuro i dati, garantendo l'accesso solo alle persone per le quali è necessario.

Diritti individuali

Devi rispettare i diritti delle persone sui propri dati, compresi quelli che riguardano l'accesso, la rettifica, la cancellazione e altro ancora.

Responsabilità

Devi assumerti la responsabilità del trattamento dei dati, anche attraverso l'adozione di misure e registri adeguati che mostrino come gestisci i dati e cosa fai per garantire il rispetto dei principi relativi alla protezione dei dati e alla privacy.

AGGIUNGI AI PREFERITI

 

Tre malintesi comuni sulle normative relative ai dati

Seguire le best practice e conoscere i dettagli dei regolamenti sulla protezione dei dati è un passo nella giusta direzione, ma possono comunque sorgere dubbi e confusione. Domande come "Si tratta di una legge o di una linea guida sulla protezione dei dati?", "I dati devono risiedere nel nostro Paese?" o "Questo requisito è una nostra responsabilità?" sono tra le più frequenti.

Distinguere i regolamenti dalle direttive e dalle linee guida

Nell'ultimo periodo, la Direttiva NIS2 ha creato molta agitazione. Qualche anno fa è successo lo stesso con il GDPR. Nei prossimi anni, probabilmente ci saranno altre novità al centro dell'attenzione.

WEBINAR

 

Sebbene sia fondamentale restare aggiornati, non c'è bisogno di agitarsi. Questo è particolarmente vero se stai già applicando le best practice per la sicurezza dei dati e la privacy e se hai scelto partner affidabili. Adottare un approccio pratico e completo alla protezione dei dati può essere molto utile per garantire la compliance.

Inoltre, è importante ricordare che non tutti i framework sono leggi. Ad esempio, il GDPR è un regolamento legalmente vincolante in tutti gli Stati membri dell'UE, mentre la NIS2 è una direttiva. Questo significa che prevede dei requisiti che devono essere raggiunti, ma richiede anche che gli Stati membri traducano questi obblighi in leggi nazionali. Tra gli Stati membri, possono esserci differenze nelle modalità di attuazione e applicazione della Direttiva NIS2.

Infatti, molti enti di certificazione nazionali in Europa, come ANSSI in Francia, BSI in Germania, GovPass nel Regno Unito e Rijkspas nei Paesi Bassi, hanno adottato variazioni dei requisiti NIS2. Ciascuno di questi Paesi segue la Direttiva NIS2, adattandola però alla propria situazione specifica. E anche se ciascun adattamento prevede misure di cybersecurity complete, c'è un'attenzione particolare alla certificazione della robustezza dei sistemi di controllo accessi fisici.

L'implementazione di un sistema di controllo accessi ad alta sicurezza con moduli I/O supportati e sicuri può aiutare a rispettare le severe normative europee sulla cybersecurity. I sistemi di controllo accessi ad alta sicurezza forniscono protocolli completamente criptati e funzionalità avanzate di cybersecurity, dalle credenziali e i lettori fino ai controller e al software. Tutto questo consente un controllo sicuro delle porte, assicurando allo stesso tempo che le informazioni sensibili rimangano all'interno del perimetro protetto per ridurre il rischio di intercettazioni dei dati o clonazioni delle credenziali.

PRODOTTI

 

Infine, c'è lo standard e certificazione ISO 27001. Anche se non è obbligatoria per legge, la conformità allo standard ISO 27001 può aiutare le aziende a soddisfare diversi requisiti di conformità, perché le raccomandazioni si allineano bene con quelle delineate nel GDPR, nella Direttiva NIS2 e in altre normative simili.

Queste informazioni ti aiuteranno a gestire al meglio le aspettative e i requisiti all'arrivo di nuove leggi o linee guida.

GUIDA GRATUITA

 

La verità sulla governance dei dati e sulla geografia

Sempre più aziende stanno adottando soluzioni cloud o deployment hybrid-cloud e si chiedono se sia necessario conservare i dati all'interno del proprio Paese per rispettare i regolamenti. La risposta, in breve, è che la maggior parte dei dati non è soggetta a vincoli di residenza e può quindi essere legittimamente esportata e gestita in altri Paesi, a patto che vengano adottate determinate misure di privacy e sicurezza.

Esistono però alcune eccezioni. Ad esempio, alcuni tipi di dati gestiti dagli operatori di settori altamente regolamentati (ad esempio bancario, pubblico e infrastrutture critiche) possono essere soggetti a vincoli di residenza dei dati a causa della sensibilità delle procedure correlate. In altri casi, alcune aziende possono semplicemente prevedere criteri, o avere preferenze, riguardo alla conservazione dei dati all'interno di determinati confini geografici, senza che questa misura sia legalmente vincolante.

I dati personali sembrerebbero essere un'altra importante eccezione, ma, in realtà, nella maggior parte dei casi non esistono requisiti normativi per i dati personali che risiedono nel proprio Paese. L'importante è che siano gestiti e protetti in modo da rispettare le normative vigenti nel Paese di origine.

Ecco perché è fondamentale lavorare con un vendor affidabile. I vendor informati e preparati possono offrire svariate opzioni di ubicazione dei data center per soddisfare diverse esigenze e preferenze, aiutandoti anche a determinare la scelta migliore per la tua azienda alla luce di qualsiasi requisito aziendale e normativo.

Conoscere i tuoi ruoli e le tue responsabilità

Nella tua supply chain, è probabile che ci siano svariate aziende con ruoli diversi che trattano i tuoi dati. Sebbene in ultima analisi sia tu a decidere chi può accedere a quali dati, anche i partner che scegli hanno la responsabilità di garantire che i dati siano gestiti e protetti correttamente.

Ad esempio, in qualità di responsabile del trattamento dei dati, è tuo compito essere diligente e verificare i channel partner e i vendor con cui lavori. Devi anche confermare a quali dati hanno accesso e come intendono gestirli, conservarli e proteggerli. Inoltre, sei responsabile della valutazione continua delle loro procedure per assicurarti che rispettino le best practice e onorino i propri impegni.

Ma non è tutto a carico tuo. Questi vendor e partner tecnologici agiscono generalmente come responsabili del trattamento dei dati. Ciò significa che diventano responsabili dei contenuti tecnologici e che devono garantire la trasparenza sul modo nel quale gestiranno e proteggeranno i dati. Devono inoltre assumersi la responsabilità di tutte le loro azioni (comprese quelle dei rispettivi fornitori) che possono avere un impatto sulla tua azienda o che non sono in linea con gli impegni assunti nei tuoi confronti.

L'impatto delle soluzioni scelte sulla compliance

Non tutte le soluzioni di sicurezza fisica sul mercato sono costruite per supportare le best practice di cybersecurity e privacy. Alcuni sistemi più datati ed eterogenei non sono stati progettati per soddisfare i requisiti e i framework attuali.

Se la conformità a queste normative è una priorità, può essere utile scegliere una piattaforma di sicurezza fisica unificata e progettata tenendo conto della cybersecurity e della privacy. Anche altri fattori, come i modelli di deployment e un approccio responsabile all'AI, possono aiutarti a raggiungere i tuoi obiettivi di conformità.

Ecco come:

Strumenti built-in per la privacy e la protezione dei dati

Le soluzioni di sicurezza fisica sviluppate pensando alla cybersecurity e alla privacy sono dotate di una serie strumenti utili per migliorare la resilienza e mantenere i dati al sicuro. La crittografia, l'autorizzazione e l'autenticazione possono aiutarti a proteggere i dati ed evitare che cadano nelle mani sbagliate,

mentre gli strumenti e i servizi più avanzati segnalano le potenziali vulnerabilità e semplificano gli aggiornamenti. Infine, esistono anche altre funzionalità che permettono di limitare gli accessi e i privilegi degli utenti, oltre a fornire indici di sicurezza utili per raggiungere la massima resilienza del sistema.

HUB

 

Un approccio unificato alla sicurezza fisica

Una piattaforma di sicurezza fisica unificata può aiutarti a implementare un'unica strategia globale per la protezione dei dati e la privacy. Utilizzare un'unica soluzione semplifica il processo aiutando a standardizzare le misure di cybersecurity in tutti i sistemi di sicurezza fisica.

Una piattaforma unificata evita di perdere tempo per controllare sistemi separati, monitorarne lo stato, garantire l'igiene informatica o gestire i controlli per la privacy. Invece, potrai gestire le impostazioni di sicurezza, privacy e protezione dei dati per tutti i tuoi sistemi attraverso un'unica interfaccia.

EBOOK

 

Installazioni hybrid-cloud e cloud

Le soluzioni cloud-based liberano i team IT e di sicurezza dai costanti oneri associati alla manutenzione e all'hardening. Con un deployment cloud o hybrid-cloud, potrai supervisionare da remoto i controlli sullo stato del sistema e sulla privacy ovunque ti trovi. Inoltre, raggiungerai livelli di automazione più elevati per garantire una maggiore resilienza informatica.

Scegliere una soluzione di sicurezza fisica as-a-Service (PSaaS) permetterà al tuo sistema di ricevere automaticamente tutte le ultime versioni e correzioni. Inoltre, ti consentirà di accedere alle più recenti funzionalità di cybersecurity e privacy non appena saranno disponibili in modo che i tuoi sistemi di sicurezza fisica siano sempre aggiornati e protetti dalle vulnerabilità.

PRODOTTI

 

L'importanza di un approccio responsabile all'AI

L'intelligenza artificiale (AI) è in grado di elaborare un volume di dati molto elevato in breve tempo. Questo ha portato a una crescita dell'interesse per l'AI in molti settori, compreso quello della sicurezza fisica. Tuttavia, se non vengono gestite in modo responsabile, le tecnologie AI possono essere sviluppate o utilizzate in modi che violano la privacy, arrivando anche a produrre pregiudizi e discriminazioni o risultati e decisioni distorti.

Per questo motivo, sono state emanate diverse normative che disciplinano le innovazioni basate sull'AI e le aziende devono prestare attenzione alle soluzioni che scelgono e implementano. Scegliere vendor che danno priorità a un approccio responsabile all'AI è fondamentale per chi vuole garantire la conformità normativa.

In Genetec, questo significa garantire che le nostre tecnologie AI siano sviluppate tenendo conto di principi specifici:

• Privacy e governance dei dati. Ci assumiamo tutte le responsabilità dell'utilizzo dell'AI nello sviluppo delle nostre soluzioni. Utilizziamo solo dataset che rispettano le normative vigenti in materia di protezione dei dati e mettiamo la protezione dei dati e la privacy al primo posto in tutto ciò che facciamo.
• Affidabilità e sicurezza. Cerchiamo continuamente nuovi modi di minimizzare i pregiudizi e migliorare l'accuratezza nello sviluppo dei modelli AI per rendere i risultati generati più giustificabili.
• Centralità delle persone. Diamo priorità al processo decisionale umano per garantire che i modelli AI non possano prendere decisioni critiche in modo autonomo.

Blog

 

Come scegliere il vendor giusto per garantire la conformità normativa

Al giorno d'oggi, in un mondo connesso e data-driven, i dati sono ovunque. Le nuove normative sulla protezione dei dati e sulla privacy potranno sembrare opprimenti, ma sono chiaramente necessarie.

Le aziende responsabili sanno che questi framework e standard sono ben allineati alle procedure aziendali più critiche. Dopotutto, la conformità non comporta altro che un approccio pragmatico e completo alla protezione dei dati e della privacy, oltre alla collaborazione con vendor di fiducia.

Blog

 

Garantire la conformità ai framework in continua evoluzione non dipende solo dalla tecnologia che scegli, ma anche dalle persone con cui collabori. Per questo motivo, è importante avere al tuo fianco partner comprendono la compliance e danno priorità al rispetto delle normative.

Avranno le risorse, la tecnologia, le conoscenze legali, i contratti e le partnership necessari per aiutarti a mantenere una supervisione adeguata, indipendentemente dall'evoluzione dei regolamenti. Inoltre, saranno in grado di fornire un elenco di certificazioni rilasciate da enti governativi e di regolamentazione, sia per i loro prodotti che per le loro attività commerciali. Queste certificazioni sono fondamentali per valutare l'impegno di un vendor nei confronti della conformità e della protezione dei dati.