I principi chiave della protezione dei dati (Europa e Nord America)

banner sulla protezione dei dati

Non c’è dubbio che la tipica azienda moderna generi grandi quantità di dati che devono essere spostati, analizzati e archiviati in modo sicuro. Poiché molti di questi dati riguardano la privacy di utenti e clienti, sono state create diverse leggi e normative per promuovere pratiche di protezione rigorose. Anche se queste normative variano molto da Paese a Paese, il concetto di fondo rimane lo stesso: mantenere i dati al sicuro e renderli disponibili agli utenti autorizzati quando ne hanno bisogno.

Questo articolo tratterà i seguenti argomenti:

  • Che cos’è la protezione dei dati?
  • Protezione dei dati negli Stati Uniti
  • Protezione dei dati in Canada
  • Protezione dei dati nell’UE
  • I 7 principi della protezione dei dati (GDPR)
  • Soluzioni per la protezione dei dati

Che cos’è la protezione dei dati?

La protezione dei dati è il concetto di salvaguardia dei dati importanti da corruzione, compromissione o perdita. Non si limita a una protezione passiva, ma si basa su processi di ripristino e recupero dei dati nel caso in cui si verifichi un evento che li renda inaccessibili o inutilizzabili. La protezione dei dati riguarda anche le questioni di conformità ai requisiti legali o normativi applicabili.

Oltre alla sicurezza, la protezione dei dati riguarda l’accesso autorizzato ai dati. Ovviamente non si può semplicemente cancellare i dati importanti o chiuderli in una cassaforte impenetrabile. I dati sono destinati a essere utilizzati e i dati protetti devono essere disponibili per gli utenti autorizzati quando sono necessari per lo scopo previsto.

In termini generali, l’idea moderna di protezione dei dati abbraccia tre grandi categorie: protezione tradizionale dei dati, come i backup; sicurezza dei dati e difesa dalle violazioni; privacy dei dati.

Il primo principio della protezione dei dati

Il principio principale della protezione dei dati è quello di utilizzare metodologie e tecnologie per proteggere i dati e renderli disponibili agli utenti autorizzati in ogni circostanza.

Oltre a questa massima di base, la protezione dei dati diventa molto granulare a seconda della regione in questione. Varie leggi e regolamenti governativi aggiungono ulteriori livelli e dettagli a questo obiettivo di ampia gamma, prendendo in considerazione una miriade di problemi di sicurezza informatica e di privacy personale.

Nel proseguire, esploreremo la protezione dei dati così come viene definita nelle diverse regioni.

Principi di protezione dei dati negli Stati Uniti

A differenza di alcune regioni, in particolare l’Unione Europea, gli Stati Uniti non hanno una legge federale completa che disciplini la privacy e il trattamento dei dati o delle informazioni personali. Negli Stati Uniti, invece, le organizzazioni devono navigare in un insieme di leggi federali e statali che regolano la raccolta, l’elaborazione, la divulgazione e la sicurezza delle informazioni personali.

Inoltre, alcuni settori, come quello sanitario e finanziario, sono regolamentati in modo specifico per il loro settore.

A causa della natura decentralizzata delle leggi statunitensi sulla protezione dei dati, i responsabili del trattamento dei dati devono tenersi aggiornati su queste diverse leggi e prepararsi a una probabile ulteriore evoluzione della normativa statunitense in materia.

Diamo una rapida occhiata alle principali leggi sulla protezione dei dati attualmente in vigore:

HIPAA

L’Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una legge federale che stabilisce gli standard per la salvaguardia di alcune informazioni personali relative alla salute dalla divulgazione senza il consenso o la conoscenza del paziente.

La HIPAA Privacy Rule, promossa dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, è entrata in vigore nel 2003 e regola l’uso e la divulgazione di informazioni personali protette nell’ambito del trattamento, del pagamento e delle operazioni sanitarie.

Nel 2003 è entrata in vigore un’ulteriore regola di sicurezza HIPAA che riguarda specificamente le cartelle cliniche elettroniche. Questa norma specifica le salvaguardie amministrative, fisiche e tecnologiche necessarie per la conformità.

FCRA

Il Fair Credit Reporting Act (FCRA) è una legge federale che disciplina le agenzie di segnalazione dei consumatori e le loro procedure in materia di riservatezza, accuratezza, pertinenza e uso corretto dei dati personali.

Le informazioni personali disciplinate dal FCRA sono specifiche per i rapporti di credito e i rapporti sui consumatori venduti per determinare l’idoneità all’impiego, per la sottoscrizione di crediti o assicurazioni e per alcuni altri scopi descritti nel FCRA.

L’FCRA prevede anche diverse tutele per i consumatori, tra cui il diritto di ottenere il proprio punteggio di credito e il diritto di sapere cosa c’è nel file che un’agenzia di segnalazione mantiene sul consumatore.

GLBA

Il Gramm-Leach-Bliley Act del 2002 (GLBA) è una legge federale che regola principalmente la raccolta, l’uso, la divulgazione e la protezione delle informazioni personali non pubbliche raccolte dagli istituti finanziari.

COPPA

Il Children’s Online Privacy Protection Act (COPPA) è una legge federale che impone requisiti ai siti web diretti a bambini di età inferiore ai 13 anni e agli operatori di siti web o servizi online che raccolgono consapevolmente informazioni personali da bambini di età inferiore ai 13 anni. Gli operatori che rientrano nel COPPA devono divulgare alcune informazioni nella loro politica sulla privacy e ottenere il consenso dei genitori prima di raccogliere alcuni tipi di informazioni da bambini di età inferiore ai tredici anni.

FERPA

Il Family Educational Rights and Privacy Act (FERPA) è una legge federale che tutela i documenti scolastici degli studenti. Il FERPA si applica a qualsiasi scuola elementare, secondaria o post-secondaria pubblica o privata, nonché alle agenzie educative statali o locali che ricevono fondi nell’ambito di alcuni programmi del Dipartimento dell’Istruzione degli Stati Uniti.

Il FERPA offre ai genitori e agli studenti idonei un maggiore controllo sui loro documenti scolastici, oltre a vietare alle istituzioni scolastiche di divulgare informazioni di identificazione personale nei documenti scolastici senza il consenso scritto di una persona autorizzata

TCPA

Il Telephone Consumer Protection Act (TCPA) è una legge federale che regolamenta le chiamate di telemarketing, le chiamate a composizione automatica, le chiamate registrate e i messaggi di testo automatizzati e i fax non richiesti. Il TCPA stabilisce anche i requisiti tecnici per gli apparecchi fax, i dispositivi di composizione automatica e i sistemi di messaggistica vocale e le modalità di identificazione degli utenti di tali apparecchiature.

Legge sulla privacy

IlPrivacy Act del 1974 è una legge federale che si applica principalmente alle agenzie governative federali, agli appaltatori e ai dipendenti. La legge sulla privacy limita la divulgazione delle informazioni personali conservate dalle agenzie governative e concede agli individui maggiori diritti di accesso ai documenti dell’agenzia conservati su di loro. Questa legge stabilisce anche un codice di pratiche informative corrette con requisiti di legge per la raccolta, la sicurezza e la diffusione dei dati personali.

Principi di protezione dei dati in Canada

Le leggi sulla protezione dei dati in Canada sono simili a quelle degli Stati Uniti, in quanto consistono in un complesso insieme di leggi federali e provinciali. Come negli Stati Uniti, alcune di queste leggi impongono regolamenti su settori specifici. Alcuni statuti prevedono obblighi di notifica e segnalazione in caso di violazione dei dati personali.

Le principali leggi sulla protezione dei dati in Canada includono:

Anche il Canada ha emanato una legge anti-spam, la Canada’s Anti-Spam Legislation (CASL), che riguarda le attività di marketing elettronico come la raccolta di dati e l’invio di e-mail in massa.

Principi di protezione dei dati nell’Unione europea

L’Unione Europea vanta attualmente il quadro di protezione dei dati più completo al mondo. Il Regolamento generale sulla protezione dei dati (GDPR), emanato nel 2018, costituisce il quadro giuridico per la protezione dei dati e della privacy in tutti gli Stati membri.

Questa complessa legislazione riguarda anche tutte le imprese che effettuano scambi commerciali con l’UE e comporta multe e sanzioni severe per garantire la conformità. Il GDPR è stato concepito per proteggere i dati sensibili dei cittadini dell’UE e dare loro un maggiore controllo sulle modalità di accesso e utilizzo. I requisiti includono il controllo dei trasferimenti internazionali di dati e il diritto dei cittadini alla cancellazione dei dati.

Analizzeremo il GDPR in modo più dettagliato nella prossima sezione.

I 7 principi della protezione dei dati (GDPR)

  1. Legalità, equità e trasparenza

Articolo 5, paragrafo 1, lettera a), del GDPR: “I dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato (‘lawfulness, fairness, transparency’)”

Specifica che le organizzazioni devono garantire che i loro metodi di raccolta dei dati non compromettano la legge e che il loro uso dei dati sia trasparente per coloro i cui dati vengono raccolti.

  1. Limitazione delle finalità

Articolo 5, paragrafo 1, lettera b), del GDPR: “I dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e non devono essere ulteriormente trattati in modo incompatibile con tali finalità; l’ulteriore trattamento per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche non deve essere considerato incompatibile con le finalità iniziali”

Le organizzazioni devono raccogliere dati personali solo per uno scopo definito e dichiarato. Devono delineare lo scopo e l’obiettivo e raccogliere i dati solo per il tempo necessario a raggiungere questi scopi.

La raccolta e l’elaborazione dei dati a fini di ricerca storica, scientifica o statistica, o per motivi di interesse pubblico, godono di una maggiore libertà.

  1. Minimizzazione dei dati

Articolo 5, paragrafo 1, lettera c): “I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati (minimizzazione dei dati).”

Le organizzazioni dovrebbero conservare solo la minima quantità di dati necessaria per le loro esigenze. Non è consentito raccogliere dati “extra” nella speranza che siano utili in seguito.

  1. Accuratezza

Articolo 5, paragrafo 1, lettera d): “I dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare senza indugio i dati personali inesatti, tenuto conto delle finalità per le quali sono trattati (‘accuratezza’)”

I dati personali raccolti devono essere adatti allo scopo dichiarato, nonché accurati e aggiornati. Le informazioni di identificazione personale devono essere riviste regolarmente e le informazioni inesatte devono essere corrette o eliminate.

  1. Limiti di conservazione

Articolo 5, paragrafo 1, lettera e): “I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi nella misura in cui saranno trattati esclusivamente per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche, fatta salva l’attuazione delle misure tecniche e organizzative adeguate richieste dal GDPR per salvaguardare i diritti e le libertà delle persone fisiche (‘limitazione della conservazione’)”

Una volta raggiunto l’obiettivo della raccolta dei dati, questi devono essere cancellati. Se esiste un motivo accettabile per conservare le informazioni, ad esempio perché possono essere utilizzate per ricerche di interesse pubblico o storico, l’organizzazione deve stabilire e giustificare un periodo di conservazione.

  1. Integrità e riservatezza

Articolo 5, paragrafo 1, lettera f): “I dati personali devono essere trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illegali e da perdite, distruzioni o danni accidentali, utilizzando misure tecniche o organizzative adeguate (‘integrità e riservatezza’).”

Tutte le informazioni conservate devono essere custodite in modo sicuro. La vostra organizzazione deve assicurarsi che vengano adottate misure adeguate di protezione dei dati per salvaguardare le informazioni personali. L’impegno per la sicurezza informatica è essenziale.

  1. Responsabilità

Articolo 5, paragrafo 2: “Il responsabile del trattamento deve essere responsabile e in grado di dimostrare la conformità a [the other data protection principles]”

Ciò significa che le organizzazioni devono assumersi la responsabilità dei dati che conservano e dimostrare di essere conformi a tutti gli altri principi. Le organizzazioni devono essere in grado di documentare e dimostrare la loro adesione a queste pratiche.

Ciò può comportare:

Mantenersi aggiornati sulle pratiche di protezione dei dati

Creazione di una posizione di responsabile della protezione dei dati (DPO) o di responsabile della conformità

Creazione di un inventario dei dati personali

Esecuzione di valutazioni d’impatto sulla protezione dei dati e di audit sulla cybersecurity

NinjaOne e la protezione dei dati

Funzioni come Ninja Data Protection sono state progettate per aiutare le organizzazioni e i provider IT ad affrontare le complessità delle normative sulla protezione dei dati.

Conclusioni

La protezione dei dati è il processo di protezione delle informazioni contro la compromissione o la corruzione. Può essere una sfida per molte organizzazioni, ma è essenziale nel mondo moderno dei dati ad alto valore e delle crescenti minacce informatiche.

Sia gli utenti finali che i fornitori di servizi informatici devono garantire l’adozione di misure di sicurezza rigorose e il mantenimento della conformità nelle regioni o nei settori in cui è richiesta, e la scelta delle soluzioni e dei partner giusti può essere utile per navigare nelle complesse acque della protezione dei dati.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento di erogazione dei servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Scopri di più su NinjaOne Endpoint Management, fai un tour dal vivoinizia la tua prova gratuita della piattaforma NinjaOne.

Ti potrebbe interessare anche

Vuoi diventare un Ninja dell’IT?

Scopri come NinjaOne può aiutarti a semplificare le operazioni IT.
Guarda una demo×
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Inizia una prova gratuita della piattaforma RMM numero 1 su G2

Non è richiesta alcuna carta di credito e si ha accesso completo a tutte le funzionalità.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.