Il Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) rappresenta il più grande cambiamento nella legislazione europea sulla protezione dei dati nell'arco di tre decenni. L'attuale direttiva sulla protezione dei dati precede l'avvento del cloud, dei social media, dell'internet degli oggetti e di altre tecnologie che oggi diamo per scontate. Inoltre, diverse grosse case dei dati diventate nel tempo dei colossi del settore sono state anch'esse fondate con questa legislazione. Il GDPR è quindi un aggiornamento necessario e tempestivo.
Il GDPR continua gli ampi principi di protezione dei dati già ben consolidati nella precedente legislazione. Allo stesso tempo, però, pone diversi nuovi requisiti e considerazioni per qualsiasi organizzazione che effettui il trattamento dei dati personali. È importante sottolineare che le conseguenze di una protezione dei dati inefficace possono essere gravissime per le aziende;
1
si parla infatti di una multa di fino al 2% delle entrate globali per le violazioni tecniche, e di fino al 4% per le violazioni dei principi stabiliti dalla legge.
2
C'è anche l'obbligo di notifica delle violazioni dei dati personali, il che include avvertire gli interessati dalla violazione (se materiale).
3
Infine, c'è lo spettro delle class action collettive portate avanti a nome dei soggetti interessati.
4
La sanzione più severa consiste nel divieto totale di trattamento dei dati personali (per casi estremi).
Intuitive Password è completamente compatibile col GDPR
Intuitive Security Systems Pty Ltd si assicura costantemente di essere al passo coi tempi e conforme alle leggi, i nostri controlli e azioni si basano sui nostri conclamati investimenti in privacy, sicurezza e procedure gestionali, tutto necessario per rispondere ai requisiti del GDPR e degli altri regolamenti applicabili. Intuitive Security Systems Pty Ltd partecipa all'UE Privacy Shield framework, ed è già conforme a tutte le attuali norme UE sulla protezione dei dati. Entro il 25 maggio 2018, la società sarà anche conforme al GDPR.
Per assicurarsi che i clienti comprendano la filosofia generale di Intuitive Security Systems Pty Ltd verso la GDPR, i nostri obiettivi entro la data in cui verrà applicata, e come è possibile usare Intuitive Password in un modo che rispetti la GDPR, è importante ricordare alcuni punti:
1
In terminologia GDPR, Intuitive Password è un "Elaboratore Dati" e tu, il nostro cliente, sei il "Controllore Dati" per tutti i dati caricati o generati dal cliente. Questo significa che tu hai la possibilità di determinare il destino di tutti i dati caricati da te o dagli utenti sul tuo account. Intuitive Password rispetterà tutte le tue istruzioni e i termini di qualsiasi accordo scritto o contratto su come gestire i dati all’interno delle capacità del prodotto.
2
In quanto Controllore Dati, possiedi anche la relazione direttamente con gli utenti nel tuo account, questi utenti sono considerati come "Soggetti Dati" sotto il GDPR. I Soggetti Dati hanno certi diritti a termini di legge, e Intuitive Password fornisce strumenti per te per assistere i Soggetti Dati nell’esercitare i loro diritti. Se la tua relazione con Intuitive Password dovesse finire, i tuoi dati verranno distrutti poco dopo il termine del contratto. Questo per proteggere la privacy e la sicurezza dati dei dati.
3
In qualsiasi momento, tu hai il diritto, e gli strumenti necessari, per ricevere tutte le informazioni caricate o generati da cliente in relazione a Intuitive Password. Rendiamo le cose semplici per te mantenendo la nostra copia di backup. È molto importante ricordare che utilizzando Intuitive Password non sei necessariamente automaticamente e completamente idoneo al GDPR. Ti incoraggiamo a verificare di rispettare tutti gli aspetti delle normative, e di ricevere consulenza legale se necessario.
Come delineato sopra, Intuitive Security Systems Pty Ltd è sulla buona strada verso l’idoneità GDPR e noi riteniamo che Intuitive Password possa essere in grado di assistere nostri clienti in nei loro sforzi di idoneità facendo leva sulla seguente funzionalità:
Sicurezza:
Intuitive Password è costruito su criptazione AES-256 bit con PBKDF2 SHA-256 e salted hashes per assicurare protezione dati sul cloud. Intuitive Password inoltre opera su un’infrastruttura cloud fortificata e passa molte revisioni di sicurezza approfondite ogni anno. Questo può aiutare i clienti a prendere di mira ogni requisito che potrebbero avere per quanto riguarda l’utilizzo di criptazione, pseudonimizzazione e/o anonimizzazione.
Architettura Zero-knowledge:
Intuitive Password è costruita da zero sull’idea che l’utente individuale sia l’unica persona che può accedere ai propri dati. Questo si trova in sintonia con i principi del GDPR e con i requisiti di protezione dati. Separando i dati e le chiavi di criptazione, nessun dipendente di Intuitive Password sarà mai in grado di accedere ai dati cliente. Se Intuitive Password dovesse mai essere violato, il ciphertext sarebbe inutile ai perpetranti e perciò non sarebbe necessaria alcuna azione immediata.
Nessuna Elaborazione Aggiuntiva:
Intuitive Password non farà mai data mining ai clienti per qualsiasi scopo. Primo, è una questione di politica ai più alti livelli di Intuitive Password il nostro impegno verso la privacy del cliente. Secondo, in virtù della nostra architettura Zero-knowledge, è tecnicamente impossibile per noi farlo. Questo segue i principi di GDPR delle polizze sia aziendali che tecniche per proteggere i dati personali.
Eliminazione dati:
Intuitive Password consente ai clienti di esportare i propri dati ed eliminare gli account, se necessario. Questa funzione può consentire ad un cliente di soddisfare i requisiti per l’eliminazione dati personali una volta completato il loro uso proposto, quando il consenso viene ritirato o se non esiste più uno scopo commerciale legittimo.
Protezione Privacy:
Intuitive Password è costruita sul principio della conoscenza zero. Questo significa che per default, solo i soggetti dati stessi possono accedere ai loro dati sensibili e tale funzionalità potrebbe essere ritenuta una pratica di protezione privacy accettabile.
Domande Più Frequenti
In quanto azienda australiana, Intuitive Password deve seguire il GDPR?
Sì. In quanto provider globale di software-as-a-service, abbiamo molti clienti in UE (e Area Economica Europea o EEA) il che significa che il GDPR si applica in eguale misura a noi. Perciò, rispetteremo le disposizioni applicabili del GDPR non più tardi del 25 maggio 2018.
Ho letto di "Controllore Dati" e "Elaboratore Dati". Qual è la differenza e quale di questi è Intuitive Password?
Parafrasando il testo formale: (a) un Controllore Dati è il proprietario delle proprie informazioni e decide in che modo tali informazioni debbano essere usate; e (b) un Elaboratore Dati è una persona o entità che elabora i dati personali del controllore dati e porta avanti le istruzioni del controllore per quanto riguarda questi dati. In termini generali, i nostri clienti saranno i controllori del loro contenuto (come viene definito il termine nei nostri Termini di Servizio), inclusa qualsiasi informazione personale associata che loro posizionano o generano nei nostri sistemi, e Intuitive Password sarà l’elaboratore a loro nome. In alcune istanze limitate e divulgate, come quando raccogliamo dati da un cliente per creare un account, Intuitive Password sarà il controllore.
Cos’è un provider "zero-knowledge"?
Intuitive Password è un provider di sicurezza zero-knowledge. L’utente di Intuitive Password è l’unica persona che ha il pieno controllo sulla criptazione e decriptazione dei propri dati. Con Intuitive Password, la criptazione e la decriptazione si verificano sul dispositivo locale dell’utente o su un browser Web in seguito ad accesso al suo account. Ogni voce individuale conservata nell’account utente è criticata con chiavi di sicurezza 256-bit AES. Le chiavi dei registri sono protette da una chiave aggiuntiva, chiamata Data Encryption Key. La Data Encryption Key viene criptata da una chiave derivata dalle credenziali di accesso dell’utente. Questo modello di criptazione multistrato fornisce la protezione dati più avanzata disponibile nell’industria.
Quali cambiamenti sta implementando Intuitive Password per mantenere l’idoneità GDPR?
In quanto piattaforma a conoscenza zero, le informazioni conservate nel nostro prodotto sono completamente criptate e disponibili solo all’utente. Abbiamo apportato dei cambiamenti ai nostri sistemi analitici per assicurare l’anonimato ai nostri clienti e abbiamo apportato cambiamenti per consentirti di controllare il tuo consenso sul fatto che qualsiasi dato personale che può essere stato raccolto su di te venga utilizzato o conservato.
Il GDPR impedisce ad un’azienda di conservare informazioni al di fuori della UE?
No, non c’è nulla nell’attuale normativa GDPR che impedisca o suggerisca questo requisito. Il GDPR indica che gli elaboratori dati devono proteggere i dati personali in modo appropriato, a prescindere da dove questi vengono conservati. Inoltre, il GDPR non invalida o scavalca le Clausole Modello UE (che fanno parte del DPA di Intuitive Password che rispetta il GDPR) o della EU privacy shield framework, che sono entrambi meccanismi validi per assicurare il trasferimento legale di dati personali verso e al di fuori della UE.
Offrite un accordo di elaborazione dati?
Sì. Intuitive Password ha il piacere di offrire un Accordo di Elaborazione Dati (DPA) revisionato che rispetta il GDPR il quale incorpora: (1) Le Clausole Contrattuali Standard UE note anche come Clausole Modello UE); (2) Msure di sicurezza dati tecniche e organizzative di Intuitive Password; e (3) Un accordo specifico per il GDPR. Questo DPA che rispetta il GDPR assicura che qualsiasi trasferimento di dati personali al di fuori dell’area economica europea in connessione alla tua relazione con Intuitive Password verrà eseguito nel rispetto del GDPR.
Dove vengono conservati i miei dati?
Tutti i dati di Intuitive Password risiedono all’interno dell’Australia. I nostri data ceter principali e di backup si trovano entrambi a Melbourne e Sydney.
