Thales permette alle aziende di conformarsi al GDPR alla luce della sentenza Schrems II
Il regolamento generale sulla protezione dei dati (GDPR) ha stabilito i requisiti sulla sicurezza dei dati personali all'interno dell'Unione europea (UE) o dello Spazio economico europeo (SEE). Tuttavia, non ha affrontato adeguatamente la questione relativa alla sicurezza dei dati personali dei cittadini dell'UE nel caso in cui vengano trattati al di fuori dell'UE da Paesi terzi. Un esempio sono i flussi di dati transatlantici, che rappresentano più della metà delle transazioni dell'Europa.
La recente decisione della Corte di giustizia dell'Unione europea (CGUE) nella sentenza Schrems II ha invalidato lo scudo UE-USA per la privacy, poiché non implementava adeguatamente i regolamenti GDPR dell'UE per proteggere i dati personali nel trasferimento tra l'UE e gli USA. Con l'annullamento dello scudo UE-USA per la privacy, e, prima ancora, del Safe Harbor, le aziende non sono più protette dalla responsabilità relativa a questi trasferimenti di dati e stanno cercando soluzioni per la loro protezione che possano proteggere adeguatamente il commercio globale.
Il Comitato europeo per la protezione dei dati (EDPB) è un organo europeo indipendente che contribuisce all'applicazione coerente delle norme sulla protezione dei dati in tutta l'UE e promuove la cooperazione tra le autorità di protezione dei dati in ogni Paese membro. In risposta alla sentenza Schrems II, l'EDPB ha recentemente adottato raccomandazioni su misure supplementari insieme a un secondo documento sulle garanzie essenziali dell'UE, che fornisce una guida ai Paesi extra UE per garantire la conformità al livello UE di protezione dei dati personali. Le nuove raccomandazioni dell'EDPB permettono alle aziende di realizzare un quadro affidabile per la privacy al fine di migliorare i flussi di dati transatlantici
Thales consente alle aziende di conformarsi al GDPR e di aderire alla sentenza Schrems II, utilizzando un quadro di fiducia sulla privacy per proteggere i flussi di dati transatlantici che seguono questi principi generali.
La sentenza Schrems II sottolinea la necessità di garantire che i dati personali e sensibili siano protetti dal GDPR durante il trasferimento da / verso l'UE e altri Paesi extra UE. A seguito della sentenza, il Comitato europeo per la protezione dei dati (EDPB) ha raccomandato un piano in sei fasi per valutare e proteggere costantemente i flussi di dati globali in conformità ai regolamenti europei sulla privacy dei dati.
Step 1: Siate consapevoli dei vostri trasferimenti di dati
Il primo passo è quello di assicurarsi di tenere un registro contenente i tutti i trasferimenti di dati con altri Paesi al di fuori dell'UE, registrando la serie di processori e sub-processori. Dovete verificare che i dati che trasferite siano adeguati, pertinenti e limitati a quanto necessario per essere trattati nel Paese terzo.
Step 2: Identificate gli strumenti di trasferimento a cui vi affidate
Il secondo step è quello di identificare gli strumenti di trasferimento dei dati a cui vi affidate tra quelli elencati nel capitolo V del GDPR e di adottare decisioni relative ad alcuni o tutti i Paesi terzi a cui state trasferendo i dati che offrono un adeguato livello di protezione dei dati personali.
Step 3: valutate se lo strumento di trasferimento è sufficiente a soddisfare i requisiti del GDPR (articolo 46)
Lo strumento di trasferimento deve assicurare che il livello di protezione garantito dal GDPR all'interno dei Paesi dell'UE sia altrettanto valido nel Paese terzo fuori dall'UE. La vostra valutazione dovrebbe prendere in considerazione tutti le parti che partecipano al trasferimento dei dati (ad esempio, controllori, processori e sub-processori) che elaborano i dati in Paesi terzi.
Step 4: Adottate misure supplementari
Se la valutazione dello step 3 ha rivelato che lo strumento di trasferimento non è efficace, allora sarà necessario considerare misure supplementari che, se aggiunte alle misure di sicurezza, potrebbero assicurare che lo stesso livello di sicurezza garantito all'interno dell'UE sia applicato ai trasferimenti esterni di dati.
Step 5: step procedurali in caso siano necessarie misure supplementari
Se le misure primarie utilizzate dagli strumenti di trasferimento dei dati non sono sufficienti a proteggere i dati, potrebbe essere necessario adottare queste misure supplementari.
Step 6: Effettuate nuove valutazioni nei tempi necessari
Dovete controllare su base continuativa e, se necessario, mettere in atto meccanismi sufficienti per sospendere prontamente i trasferimenti di dati in collaborazione con gli importatori di dati nei Paesi terzi in cui avete trasferito i dati, nel caso in cui l'importatore di dati abbia violato il contratto.
Thales consente alle aziende di mantenere la conformità al GDPR e di aderire alle raccomandazioni del Comitato europeo per la protezione dei dati (EDPB) per quanto concerne l'adeguamento alla sentenza Schrems II utilizzando il piano in sei fasi per valutare e proteggere costantemente i flussi di dati globali.
La CipherTrust Data Security Platform di Thales unifica data discovery, classificazione, protezione dei dati e controlli degli accessi granulari senza precedenti con una gestione centralizzata delle chiavi da voi controllata, il tutto in un unico luogo. Permette alle aziende di implementare politiche di crittografia BYOE (bring your own encryption) e tokenizzazione per proteggere i dati sensibili a riposo sia nei Paesi dell'UE (esportatori di dati) che in quelli extra UE (elaboratori di dati).
This white paper describes how companies can adhere to the European Data Protection Board’s recommendations to address the Schrems II ruling, using the digital privacy framework provided by Thales’ data protection and trusted access management solutions.
The GDPR, which went into effect in May 2018, aims to protect the privacy of EU citizens. Any such data that you hold across your cloud environment(s) is ultimately your responsibility and under your ownership, leaving you subject to potential scrutiny under the new mandates. ...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
GDPR mandates the procedures and dictates the consequences regarding data breaches and notification.
In July of 2020 the Court of Justice of the European Union issued the Schrems II decision in the case Data Protection Commission v. Facebook Ireland. That decision invalidated the EU-U.S. Privacy Shield Framework, on which more than 5,000 U.S. companies rely to conduct...
La sentenza Schrems II avrà un impatto enorme sul commercio internazionale delle aziende che intrattengono rapporti commerciali nell'Unione europea. Ignorare Schrems II potrebbe portare letteralmente all'arresto parziale o completo dei trasferimenti di dati tra i Paesi intra...
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".
