Panoramica sulla protezione e sulla privacy dei dati
I dati aziendali e personali sono preziosi. La divulgazione o l'accesso, l'elaborazione o l'utilizzo di dati personali o aziendali non autorizzati possono causare ingenti perdite per utenti e aziende.
Una quantità sempre maggiore di dati si trova in più posizioni, ad esempio dispositivi, file server di un'organizzazione e servizi di archiviazione cloud. I dati possono anche essere accessibili da varie posizioni, usando molti dispositivi diversi. Il rischio di fuga, uso improprio e perdita dei dati è più grande che mai.
È importante che le aziende e i singoli utenti siano consapevoli della necessità di proteggere i dati e di acquisire le competenze necessarie per proteggere i dati. Quanto più i dati creati e archiviati sono numerosi e sensibili tanto più è importante proteggerli.
Protezione dei dati e privacy dei dati
Per protezione dei dati si intende proteggere i dati da accesso, utilizzo, distruzione, danni o perdita illegali o non autorizzati. La privacy dei dati è incentrata su raccolta, uso e gestione consentita dei dati personali e sui diritti di un utente di controllare i dati personali raccolti.
La protezione dati in genere riguarda il controllo tecnico sui dati. La privacy dei dati in genere fa riferimento a requisiti legali o normativi. La protezione dati non garantisce la privacy dei dati o viceversa.
Protezione dei dati
La protezione dati è costituita da processi, procedure e tecnologie che consentono di proteggere le informazioni preziose da danneggiamento, compromissione o perdita. È importante riconoscere che nessun singolo prodotto o tecnologia può garantire la protezione dei dati. Per proteggere i dati potrebbe essere invece necessaria una combinazione di procedure, tecnologie e prodotti disponibili.
Per pianificare e implementare misure di protezione dei dati, considerare i fattori seguenti:
Riservatezza del tipo di dati. Non tutti i dati richiedono lo stesso livello di protezione o trarre vantaggio dallo stesso approccio alla protezione dati. Ad esempio, alcuni i dati personali, come gli indirizzi di posta elettronica, potrebbero non richiedere la stessa protezione dei dati più sensibili, come il codice fiscale e le informazioni sanitarie.
Dove sono archiviati i dati. I metodi e le tecnologie di protezione dati appropriati potrebbero dipendere da dove vengono archiviati i dati. Ad esempio, per i dati archiviati nel dispositivo mobile si potrebbe usare una protezione diversa da quella usata per i dati archiviati nel file server dell'azienda o nel cloud.
Requisiti e normative di protezione dati applicabili. Le leggi e le normative possono definire requisiti specifici per la protezione dati. Consultare il team legale per approfondire la conoscenza di questi requisiti e del modo in cui si applicano all'azienda.
Tecnologie che consentono la protezione dati. Nessuna tecnologia da sola garantisce la protezione completa dei dati in ogni scenario. Acquisire familiarità con tutte le piattaforme, i processi e le tecnologie disponibili più adatti alle proprie esigenze specifiche.
Nessun approccio o tecnologia da sola garantisce la protezione dei dati. Tuttavia, i principi chiave seguenti sono importanti nella progettazione di una strategia di protezione dei dati.
In fase di creazione o raccolta dei dati, implementare un livello di protezione dei dati da mantenere per l'intero ciclo di vita degli stessi.
Assicurarsi che il personale dell'organizzazione comprenda la condivisione dei dati e sia consapevole di quali dati condivide, con chi li condivide e come li condivide. Controllare l'accesso ai dati e la condivisione è un aspetto fondamentale della protezione dei dati.
Oltre a proteggere dati specifici, assicurarsi di proteggere le identità utente, i dispositivi in cui gli utenti accedono ai dati e il traffico di rete.
Privacy dei dati
La privacy dei dati in genere si occupa di problemi come i seguenti:
- Quali entità possono raccogliere i dati.
- Quali entità possono accedere ai dati.
- Come le organizzazioni possono usare i dati raccolti.
- Per quanto tempo le organizzazioni possono conservare i dati.
- Quale livello di controllo i singoli utenti hanno sui propri dati.
Leggi e le normative sulla privacy
Diverse leggi definiscono i diritti di persone e aziende di controllare chi usa i dati e stabiliscono i requisiti per la gestione di differenti tipi di dati. Molti paesi o aree geografiche, e in alcuni casi stati specifici, hanno leggi o normative in materia di privacy e protezione dei dati personali. Le unità seguenti forniscono maggiori dettagli su queste leggi sulla privacy.
In generale, le leggi e le normative sulla privacy presentano un quadro giuridico sul modo in cui le organizzazioni e, in alcuni casi i singoli utenti, possono raccogliere, usare e archiviare i dati personali. Nella maggior parte dei casi, le leggi e i regolamenti non definiscono o prescrivono tecnologie specifiche che le organizzazioni devono usare per proteggere la privacy dei dati. Le organizzazioni devono identificare tecnologie e operazioni conformi e altre misure appropriate per la protezione della privacy dei dati.
Definire la conformità della privacy dei dati
Il quadro di riferimento interno in materia di conformità dovrebbe concentrarsi sui principi e sulle procedure per l'accesso, l'uso e la protezione dei dati. La progettazione dei criteri di gestione dei dati interni dell'organizzazione deve riflettere i requisiti di leggi e normative applicabili all'organizzazione e ai dati gestiti.
I responsabili della protezione dei dati (DPO) devono comprendere i requisiti di gestione dei dati basati su leggi e regolamenti del rispettivo stato e paese/area geografica e sui criteri interni dell'organizzazione. I DPO possono quindi definire procedure e tecnologie appropriate per la raccolta, l'archiviazione e la protezione dei dati.
Microsoft propone offerte di conformità che consentono all'organizzazione di allinearsi ai requisiti nazionali/regionali e specifici del settore per la raccolta e l'uso dei dati. Un'unità successiva descrive queste offerte.