GDPR e sicurezza

Sommario



1. Cos'è GDPR?

L'abbreviazione GDPR sta per "General Data Protection Regulation". Il GDPR regola il trattamento dei dati personali all'interno dell'Unione Europea. Il contesto giuridico si sta adattando per stare al passo con i cambiamenti tecnologici e sociali (maggiore uso della tecnologia digitale, sviluppo del commercio online, ecc.) Questo nuovo regolamento europeo è in linea con la legge francese sulla protezione dei dati del 1978 e rafforza il controllo dei cittadini sull'uso che può essere fatto dei dati che li riguardano. Armonizza le regole in Europa fornendo un quadro giuridico unico per i professionisti. Permette loro di sviluppare le loro attività digitali all'interno dell'UE sulla base della fiducia degli utenti.



2. Chi è interessato dal GDPR?

Qualsiasi organizzazione, qualunque sia la sua dimensione, paese di stabilimento e attività, può essere interessata. In effetti, il GDPR si applica a qualsiasi organizzazione, pubblica o privata, che tratta i dati personali per suo conto o meno, sia che sia stabilita nell'Unione europea o che la sua attività si rivolga direttamente ai residenti europei. Il DPMR si applica anche ai processori che elaborano dati personali per conto di altre organizzazioni. Così, se trattate o raccogliete dati per conto di un'altra entità (società, autorità pubblica, associazione), avete obblighi specifici per garantire la protezione dei dati che vi sono stati affidati.



3. Cosa sono i dati personali?

La nozione di "dati personali" deve essere intesa in modo molto ampio. I "dati personali" sono "qualsiasi informazione relativa a una persona fisica identificata o identificabile". Una persona può essere identificata: direttamente (per esempio cognome, nome) o indirettamente (per esempio tramite un identificatore (numero di cliente), un numero (di telefono), dati biometrici, diversi elementi specifici della sua identità fisica, fisiologica, genetica, psicologica, economica, culturale o sociale, così come voce o immagine). L'identificazione di una persona fisica può essere effettuata: sulla base di un singolo dato (ad esempio il numero di sicurezza sociale, il DNA), sulla base dell'incrocio di una serie di dati (ad esempio una donna che vive a tale e tale indirizzo, nata in tale e tale giorno, abbonata a tale e tale rivista e attivista in tale e tale associazione). Esempio: una banca dati di marketing che contiene una grande quantità di informazioni precise sull'ubicazione, l'età, i gusti e il comportamento d'acquisto dei consumatori, anche se il loro nome non è memorizzato, è considerata un trattamento di dati personali, se è possibile risalire a una persona fisica specifica sulla base di tali informazioni.



4. Cos'è il trattamento dei dati personali?

Questa è una nozione molto ampia. Un "trattamento di dati personali" è un'operazione, o un insieme di operazioni, riguardanti dati personali, qualunque sia il procedimento utilizzato (raccolta, registrazione, organizzazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, riconciliazione). Esempio: tenere un file di clienti, raccogliere i dati di contatto di potenziali clienti tramite un questionario, aggiornare un file di fornitori, ecc.) D'altra parte, un file che contiene solo i dettagli dell'azienda (per esempio, l'azienda "Azienda A" con il suo indirizzo postale, il numero di telefono del suo centralino e un'email di contatto generico "compagnieA@email.fr") non è un trattamento di dati personali. Un trattamento di dati personali non è necessariamente informatizzato: anche gli archivi cartacei sono interessati e devono essere protetti alle stesse condizioni.



5. BEEVOIP e il GDPR

Da maggio 2018, data di pubblicazione nel giornale ufficiale GDPR, BEEVOIP si impegna a proteggere i dati personali dei suoi clienti.

Tra le molte azioni attuate per raggiungere la conformità al GDPR, possiamo citare le seguenti:

  • Nomina di un responsabile interno della protezione dei dati (DPO) incaricato delle questioni relative al DPMR, che può essere contattato all'indirizzo dpo@beevoip.it.
  • Istituzione di un registro del trattamento dei dati personali: questo registro, che viene regolarmente aggiornato, ci permette di avere una visione precisa e in tempo reale del trattamento dei dati personali.
  • Attuazione di un accordo sul trattamento dei dati personali (DPA).
  • Mantenere un elenco esaustivo e regolarmente aggiornato dei subappaltatori di BEEVOIP che possono essere coinvolti nel trattamento dei dati personali.
  • Formazione continua dei team multidisciplinari di BEEVOIP sul GDPR e sulla protezione dei dati personali.
Per qualsiasi domanda riguardante il GDPR, si prega di contattare il nostro DPO all'indirizzo: dpo@beevoip.it.



6. Sicurezza

Sappiamo che la telefonia della vostra azienda è un elemento chiave del vostro sviluppo. La nostra infrastruttura è progettata e protetta per offrirvi una qualità di servizio ineccepibile.

Per ovvi motivi di sicurezza, non forniamo un dettaglio esaustivo delle modalità tecniche e fisiche implementate. Verifichiamo e aggiorniamo, quando necessario, le procedure e le misure descritte di seguito in base all'evoluzione delle tecniche e degli ambienti di lavoro.

6.1 Formazione e sensibilizzazione dei dipendenti BEEVOIP
Realizziamo regolarmente operazioni di sensibilizzazione e formazione per i nostri team. Inoltre, le buone pratiche di sicurezza sono oggetto di comunicazioni orali e scritte e sono permanentemente accessibili sull'intranet dell'azienda.

6.2 Misure di sicurezza applicabili ai nostri locali e dipendenti
Implementiamo misure di protezione e sicurezza fisica secondo gli standard del settore. I nostri uffici e i sistemi informatici dei nostri dipendenti sono adeguatamente protetti e vengono regolarmente testati. Per ovvie ragioni di sicurezza, non forniamo tutti i dettagli delle procedure tecniche e fisiche implementate.

6.3 Aggiornamento (server, firewall, reti di backup e antivirus)
I nostri server vengono aggiornati regolarmente, soprattutto ogni volta che vengono messi in produzione. Abbiamo un firewall fisico (macchina) con regole di firewalling che permettono solo i flussi necessari per le esigenze di BEEVOIP e la fornitura dei suoi servizi ai clienti. Abbiamo un sistema automatico di backup caldo e freddo, macchine e cluster di database. Non usiamo VPN, ma tunnel SSH per accedere ai server. Tutte le stazioni di lavoro e gli ambienti di produzione sono protetti da un software antivirus.

6.4 Privilegi e segmentazione degli usi amministrativi
Abbiamo implementato diverse classi di privilegi e permessi di accesso per i nostri clienti. Queste classi di utenti assicurano che gli utenti di ogni cliente abbiano solo l'accesso e i permessi necessari per utilizzare i servizi, su una base rigorosa di "necessità di sapere" e "necessità di fare". Questi livelli d'uso permettono la segmentazione degli usi e dei diritti di amministrazione della soluzione BEEVOIP.