Gdpr e sanzioni, cosa succede??

Gdpr e sanzioni, cosa succede??

Forse per google, la sanzione di 50 milioni di euro emessa dai francesi sono pochi spiccioli, ma al momento si tratta della sanzione piu’ alta mai emessa. Da quello che circola, la cifra potrebbe essere superata dalla sanzione che potrebbe essere emessa nei confronti di Facebook per lo scandalo relativo a Cambridge Analytica.

In casa nostra come siamo messi? Posto che la normativa non esonera le piccole realtà dall’adottare queste misure di sicurezza, diciamo che siamo messi abbastanza male, circa il 60% delle attività non sono in regola, il 20% è in regola solo parzialmente, il restante 20% e pienamente conforme.

Cosa prevedono le ispezioni?

Il Garante, sta procedendo alle ispezioni chiedendo varie informazioni e accedendo ai sistemi informatici delle aziende per verificare la corrispondenza di quanto indicato nella documentazione e quanto è stato fatto. Al momento, almeno fino a quando è stato scritto questo post, ci si è limitati ad avvisare l’azienda, concedendo circa 30 giorni di tempo per procedere con l’adeguamento alla normativa.

Sanzioni emesse in Italia

Al momento l ‘unica sanzione emessa in Italia, è stata quella che ha colpito l’associazione Rousseau per la mancata adozione delle misure di sicurezza, in seguito al Data Breach relativo ai siti del movimento 5 stelle. La sanzione è stata di 50 mila euro.

I criteri per il calcolo della sanzioni, non sono molto chiari, il Garante non prevede un importo minimo ma solo un importo massimo fino al 4% del fatturato annuo dell’esercizio precedente.

19 maggio 2019: termine ultimo di adeguamento al GDPR

Sono passati otto mesi dall’entrata in vigore dell’obbligo di adeguarsi alla normativa GDPR (regolamento UE n. 679-2016-UE)
Il termine ultimo per l’adeguamento alla nuova disciplina è stato fissato per il 19 maggio.

Dal 20 maggio quindi chi non è in regola potrà essere sanzionato pesantemente se non si è adeguato. Una bella pretesa considerato che il GDRP rimette ai destinatati della normativa la responsabilità del processo di adeguamento, meglio noto come “accountability”. Un’autoresponsabilità che, se in otto mesi non è stata all’altezza degli oltre 90 adempimenti da rispettare rischia di far chiudere bottega ai ritardatari. Non si parla infatti di spiccioli, ma di sanzioni astronomiche che possono raggiungere il 4% del fatturato.

Per informazioni e consulenza sull’adeguamento GDPR

GDPR: cosa fare con siti web e hosting

Adeguamento GDPR per aziende e consulenti, compresi i siti web.

Abbiamo tempo fino al 25 Maggio per adeguare i nostri siti web al regolamento interno GDPR (General Data Protection Regulation) ,  le sanzioni sono abbastanza pesanti per cui è meglio spendere qualche euro e mantenere aggiornati i propri sistemi che pagare multe salate.

Cosa succede se un sistema viene violato (Data Breach) ?
Bisogna comunicare immediatamente al garante il data breach con tutte le conseguenze che ne derivano

Data Breach: è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione.

Cosa fare su server, hosting, siti web? PRIVACY BY DESIGN: “tutti i sistemi devono essere disegnati per essere inespugnabili ed in regola con il GDPR.”

Per quanto riguarda i server dedicati o sistemi in cloud, è necessario prendere alcuni accorgimenti:
Firewall: deve proteggere il sistema ed esporre all’esterno solo le porte necessarie per l’operatività necessaria e solo alle sorgenti autorizzate
SSH e FTP: gli accessi SSH devono essere consentiti solo con chiave pubblica e con restrizioni IP e solamente a soggetti autorizzati, niente password. Per gli accessi in FTPdevono essere consentiti solo in modalità TLS
Backup: predisporre dei backup regolari dei dati, dei siti e dei database e assicurarsi che il ripristino sia sempre possibile.
Password: devono essere sicure e lunghe, ad esempio composte da numeri lettere almeno una maiuscola e almeno un simbolo. Evitare di trasmettere password in chiaro.
PC e Terminali: mantenerli sempre aggiornati ed evitare infezioni di trojan.

Come comportarsi con i siti web

Nel caso un sito web dovesse essere “bucato”, la normativa del GDPR impone di comunicare tempestivamente al Garante l’avvenuto Data Breach, notificare quindi che il tuo sito è stato violato e che sono stati trafugati i dati dei tuoi clienti/utenti/fornitori.

Non basta quindi ripulire il sito e modificare le password, ma bisogna comunicare il data breach al Garante e pagare una multa che equivale al 4% del fatturato, inoltre in caso di violazione dei dati si è perseguibili per legge.

Come evitare queste spiacevoli situazioni?

Firewall: WordPress deve essere protetto da un plugin di firewall per schermare il sito da brute force e altri tipi di attacchi (ci sono diversi plugin validi, Sucuri ad esempio).
SSL: il GDPR prevede che i dati personali debbano essere sempre trasmessi su canali sicuri. In parole parole, ogni sito deve avere un certificato SSL. La cosa è più facile a farsi che a dirsi. Ho spiegato tutto qui: I certificati SSL per Server Dedicati e Siti Web, spiegati al mio criceto
FTP: l’accesso FTP al sito deve essere consentito soltanto a soggetti autorizzati. Ovvero: restrizione per IP, no FTP in chiaro, solo TLS.
Backup: revisionare e/o predisporre backup regolari del sito e dei DB. Verificare periodicamente che il ripristino sia sempre possibile.
Aggiornamenti: tutti i componenti del sito WordPress devono essere tempestivamente aggiornati. Temi: aggiornare tempestivamente.
Plugin e Core dei siti web: aggiornarli tempestivamente, gli aggiornamenti su WordPress e di Joomla,  sono automatici per le minor version, quando ci sono i salti di versione è richiesto l’intervento manuale, lo stesso vale per plugin e temi. Salvo casi particolari, plugin e temi non si aggiornano automaticamente.
Password: le password di accesso a WordPress devono essere sicure e lunghe.
Rischi da evitare ad ogni costo: trasmettere in chiaro password WordPress o password FTP. Mai trasmettere in chiaro le password. Non essere negligente con la sicurezza dei terminali desktop. Il tuo pc contiene password che consentono di aver accesso amministrativo ad uno o più siti WordPress? Se il pc viene compromesso ed infettato con un trojan, qualsiasi hacker con un minimo di esperienza potrà accedere in pochi minuti al tuo sito.
Raccomandazioni generali e sempre valide: limitare e se possibile evitare l’accesso di soggetti terzi come ad esempio rivolgersi a collaboratori a basso costo extra UE che accedono ai siti per aggiornare temi e plugin.

 

Apri la chat
1
WhatsApp
Ciao!
Bisogno di informazioni? Chiedi qui!