Ai sensi dell’art. 32 RGPD
Le organizzazioni che raccolgono, trattano o utilizzano dati personali direttamente o per conto di altri devono adottare le misure tecniche e organizzative necessarie per garantire la conformità alle disposizioni delle leggi sulla protezione dei dati. Tali misure sono necessarie solo se il loro costo è ragionevolmente proporzionale allo scopo di protezione che si intende perseguire.
1.1 Controllo dell’accesso ai locali e agli impianti
Misure idonee a prevenire l’accesso di persone non autorizzate ai sistemi di elaborazione dei dati con cui vengono trattati o utilizzati dati personali. Le misure di controllo all’accesso che possono essere utilizzate per mettere in sicurezza edifici e locali includono sistemi di controllo automatico degli accessi, uso di smart card e transponder, controllo degli accessi da parte di servizi di portineria e sistemi di allarme. I server, le apparecchiature di telecomunicazione, la tecnologia di rete e le apparecchiature simili devono essere protetti in armadi per server dotati di serratura. Inoltre, è opportuno supportare il controllo degli accessi con misure organizzative (per esempio istruzioni di servizio che prevedono la chiusura dei locali di servizio in caso di assenza).
| Misure tecniche | Misure organizzative |
|---|---|
| Sistema di chiusura manuale in tutti gli uffici | Regolamento chiavi/Elenco disponibile |
| I servizi di pulizia non hanno accesso alla rete o ad altre apparecchiature tecniche |
1.2 Controllo degli utenti
Misure idonee a impedire che i sistemi di elaborazione dati (computer) vengano utilizzati da persone non autorizzate. Il controllo degli utenti si riferisce alla prevenzione dell’uso non autorizzato dei sistemi. Può essere realizzato, ad esempio, mediante password di avvio, ID utente con password per i sistemi operativi e i prodotti software utilizzati, screen saver con password, l’uso di chip card per l’accesso e l’impiego di procedure di call-back. Inoltre, possono essere necessarie anche misure organizzative, ad esempio per impedire la consultazione non autorizzata (p. es. specifiche per l’impostazione delle schermate, indicazioni agli utenti su come scegliere una password sicura).
| Misure tecniche | Misure organizzative |
|---|---|
| Autenticazione a due fattori per tutti i sistemi che contengono dati sensibili | Gestione delle autorizzazioni per gli utenti in sistemi produttivi da parte di responsabili definiti |
| Codifica dei dischi fissi dei dispositivi del personale (laptop) | Creazione di profili utente |
1.3 Controllo dell’accesso ai dati
Misure per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati possano accedere solo ai dati per i quali dispongono di un’autorizzazione e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento, l’utilizzo e dopo la memorizzazione. Il controllo dell’accesso ai dati può essere realizzato anche mediante sistemi idonei di autorizzazione che consentono un accesso differenziato ai dati, distinguendo le autorizzazioni sia in base al contenuto dei dati sia in base alle possibili funzioni di accesso. Inoltre, devono essere definiti meccanismi di controllo e responsabilità adeguati per documentare la concessione e la revoca delle autorizzazioni e per mantenerle aggiornate (per esempio in caso di assunzione, cambio di mansione, cessazione del rapporto di lavoro). Occorre sempre prestare particolare attenzione al ruolo e alle prerogative degli amministratori.
| Misure tecniche | Misure organizzative |
|---|---|
| Distruggidocumenti | Checklist personale onboarding e offboarding |
1.4 Controllo del trattamento separato
Misure per garantire che i dati raccolti per scopi diversi possano essere trattati separatamente. Tali misure possono essere realizzate ad esempio mediante separazione logica o fisica dei dati.
| Misure tecniche | Misure organizzative |
|---|---|
| Separazione tra ambiente produttivo e ambiente di test | Controllo tramite sistema di autorizzazione integrato nel prodotto, nel sistema di archiviazione dei dati e in ambito analytics |
2.1 Controllo del trasferimento
Misure per garantire che i dati personali non possano essere letti, copiati, modificati o rimossi da persone non autorizzate durante la trasmissione elettronica, durante il trasporto o l’archiviazione su supporti dati, e che sia possibile verificare e stabilire a quali organismi i dati personali sono destinati a essere trasmessi dai dispositivi di trasmissione dati. Per garantire la riservatezza nella trasmissione elettronica dei dati, si possono utilizzare, ad esempio, tecniche di crittografia e reti private virtuali (VPN). Le misure per il trasporto o il trasferimento di dati possono essere realizzate mediante contenitori dotati di dispositivi di chiusura e l’adozione di norme per la distruzione dei supporti dati in conformità con le disposizioni legislative.
| Misure tecniche | Misure organizzative |
|---|---|
| Protocollo degli accessi e delle consultazioni | Documentazione dei destinatari dei dati e della durata prevista per la cessione o dei termini di cancellazione |
2.2 Controllo dell’introduzione
Misure per garantire la possibilità di controllare e stabilire a posteriori se e da chi i dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati. Il controllo dell’introduzione si ottiene attraverso registrazioni che possono avvenire a diversi livelli (per esempio sistema operativo, rete, firewall, database, applicazione). Inoltre, deve essere chiarito quali dati vengono registrati, chi ha accesso ai registri, da chi e in quale occasione/ora vengono controllati, per quanto tempo è richiesta la conservazione e quando avviene la cancellazione dei registri.
| Misure tecniche | Misure organizzative |
|---|---|
| Registrazione tecnica di inserimento, modifica o cancellazione di dati | Tracciabilità di inserimento, modifica o cancellazione di dati mediante nomi utente individuali |
3.1 Controllo della disponibilità
Misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale, ad esempio mediante gruppi di continuità, sistemi di condizionamento dell’aria, protezione antincendio, backup dei dati, archiviazione sicura dei supporti dati, protezione da virus, sistemi raid, mirroring dei dischi ecc.
| Misure tecniche | Misure organizzative |
|---|---|
| Tutti i sistemi critici sono archiviati in servizi cloud o di colocation che garantiscono misure adeguate secondo le norme ISO 9001 e ISO 27001. | Programma di back-up e recovery |
| Presenza di un piano di emergenza | |
| I backup vengono regolarmente caricati su sistemi paralleli per verificare i processi di ripristino. |
4.1 Misure per la protezione dei dati
| Misure tecniche | Misure organizzative |
|---|---|
| Gestione di [email protected] come indirizzo di contatto per le questioni relative alla protezione dei dati | |
| Il personale viene istruito sulla sensibilità dei dati esistenti di Flatfox e viene ripetutamente avvisata degli scenari di minaccia. |
4.2 Incident Response Management
Supporto nella risposta alla violazioni della sicurezza
| Misure tecniche | Misure organizzative |
|---|---|
| L’isolamento dei sistemi produttivi interessati, indipendentemente dall’accesso ad essi, è possibile tramite Cloudflare. | Sono presenti processi documentati di User Lockout in caso di attività sospette |
4.3 Protezione dei dati per impostazione predefinita
Privacy by design / Privacy by default
| Misure tecniche | Misure organizzative |
|---|---|
| I dati sensibili dei candidati che non vengono più utilizzati attivamente sono cancellati automaticamente dopo un periodo di tempo ragionevole (di solito 60 giorni). |
4.4 Controllo del trattamento su mandato (outsourcing a terzi)
Misure per garantire che i dati personali trattati sulla base di un mandato possano essere trattati solo in conformità alle istruzioni del mandante. Oltre all’elaborazione dei dati per conto terzi, questo punto comprende anche l’esecuzione di interventi di manutenzione e assistenza ai sistemi sia in presenza che in remoto. Se per il trattamento commissionato il mandatario si avvale di fornitori di servizi, è sempre necessario disciplinare assieme a tali fornitori i seguenti punti.
| Misure tecniche | Misure organizzative |
|---|---|
| Conclusione del necessario accordo sul trattamento su mandato o delle clausole contrattuali standard dell’UE | |
| Istruzioni scritte al mandatario |