Non sono presenti contenuti nel sito Web locale Ho capito. Chiudi il messaggio.

GDPR e supply chain dei vostri contenuti

Il percorso del GDPR e il suo impatto sulla creazione dei contenuti, traduzione, esperienza digitale e distribuzione

"Il futuro digitale dell'Europa può basarsi soltanto sulla fiducia. Grazie a solidi standard comuni per la protezione dei dati, le persone hanno la certezza di poter controllare le proprie informazioni personali", affermava Andrus Ansip, vicepresidente di Digital Single Market, nel dicembre 2015

Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea

A seguito dei piani della Commissione europea per la riforma della protezione dei dati, al fine di rendere l'Europa "idonea all'era digitale", è stato creato il quadro di riferimento del Regolamento generale sulla protezione dei dati (GDPR) la cui legislazione è ora entrata in vigore.

Il GDPR rappresenta la legislazione dell'Unione europea (UE) concepita per fornire alle persone maggiore controllo sui propri dati personali: dati relativi a un individuo identificato o identificabile oppure, in altre parole, dati che da soli o se combinati con altri dati consentono l'identificazione di una persona.

Il GDPR fornisce un insieme di regole su come le organizzazioni all'interno e all'esterno dell'UE e dello Spazio economico europeo (SEE) devono usare i dati personali per il marketing o per la vendita di beni e servizi, al fine di garantire che le informazioni siano protette, elaborate e memorizzate in modo sicuro.  Ha lo scopo di rafforzare e uniformare la riservatezza dei dati per tutte le persone all'interno dell'UE/SEE nonché dei dati personali elaborati da organizzazioni dell'UE/SEE ovunque nel mondo. 

Nonostante la prospettiva della conformità al GDPR possa sembrare scoraggiante, presenta in realtà un'opportunità per creare la fiducia con clienti esistenti e potenziali, rendendoli partecipi della vostra strategia relativa ai dati e consentendovi di avere successo nella nuova era digitale.

Capire le complessità del GDPR

Nell'era della comprensione, è bene capire i quattro concetti chiave del GDPR e il significato reale di dati personali e del relativo trattamento:

Dati personali

Qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Trattamento

Qualsiasi operazione o insieme di operazioni eseguite su dati personali o insiemi di dati personali.

Titolare del trattamento

Persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.

Responsabile del trattamento

Persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento.

Come affrontare la sfida del GDPR

Per affrontare la sfida del GDPR ed essere certi di disporre dei componenti giusti per la conformità, l'Articolo 5 del GDPR delinea chiaramente sei principi relativi a tutti i dati personali e alle modalità di trattamento. Il titolare del trattamento dei dati è responsabile per, e deve poter dimostrare, la conformità con questi principi e disporre dei mezzi per rispondere alle richieste da parte delle persone relative ai loro dati.  Tuttavia, il titolare del trattamento dei dati può fare affidamento sulle disposizioni del GDPR per limitare la portata delle risposte a tali richieste.

  • Trattamento in modo lecito, corretto e trasparente nei confronti dell'interessato.
  • Raccolta per finalità determinate, esplicite e legittime e successivo trattamento in modo che non sia incompatibile con tali finalità.
  • Garantire che siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ("minimizzazione dei dati").
  • Garantire che siano precisi e, se necessario, costantemente aggiornati.
  • Consentire l'identificazione dei soggetti interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati.
  • Trattamento in modo da garantire l'adeguata protezione dei dati personali.

Riservatezza fin dalla progettazione e per impostazione predefinita

La navigazione adeguata attraverso il GDPR e la supply chain dei vostri contenuti, verrà ottenuta comprendendo quali dati personali state elaborando, adottando i processi giusti e garantendo la trasparenza con i vostri clienti. Per quanto riguarda il percorso dei vostri contenuti, SDL è disponibile a fornirvi le giuste indicazioni e l'assistenza per adottare le misure appropriate per essere conformi con il GDPR.

Il GDPR obbliga per legge i titolari del trattamento dei dati a implementare la "protezione fin dalla progettazione e per impostazione predefinita", che significa considerare come fondamentale la gestione della riservatezza dei dati personali nell'intero processo di elaborazione dei dati in tutti i progetti, dall'acquisizione alla distruzione. 

Per soddisfare la riservatezza fin dalla progettazione quando sviluppiamo il nostro software, abbiamo integrato l'anonimato nei processi e nei sistemi che acquisiscono i dati, aderendo ai principi dello sviluppo di software sicuro. Gli standard che abbiamo raggiunto significano che oggi il nostro software è già utilizzato da alcune delle organizzazioni a livello mondiale più attente alla questione della privacy, tra cui agenzie di intelligence, banche ed enti governativi, ed è parte integrante dei loro processi di protezione della riservatezza dei dati. 

Quando utilizza il software SDL, la vostra organizzazione è titolare del trattamento per i dati personali trattati tramite il software SDL (in sede o nel cloud). Se utilizzate la nostra offerta Software as a Service (SaaS), SDL sarà il responsabile del trattamento per quanto riguarda la conservazione o la trasmissione di dati personali. Per ottenere la riservatezza fin dalla progettazione garantiamo che la distribuzione SaaS abbia luogo in ambienti sicuri per una protezione adeguata.

La nostra promessa a voi: Navigazione nel percorso dei vostri contenuti GDPR

Noi di SDL ci impegniamo ad aiutare i clienti a rispettare la conformità con il GDPR, fornendo le funzionalità necessarie per guidarvi nel processo della supply chain dei vostri contenuti: dalla creazione alla traduzione, fino alla distribuzione.  Forniamo indicazioni su come utilizzare le funzionalità nel nostro software in modi responsabili che vi consentiranno la conformità con il GDPR.

Facendo clic sulle caselle di seguito otterrete informazioni dettagliate su come il nostro software può assistervi.

Software e servizi di traduzione SDL

Per prima cosa, pensate ai problemi legati alla riservatezza per le persone che utilizzano il nostro software. 

In linea con la riservatezza fin dalla progettazione, il nostro software di traduzione riduce al minimo i dati conservati relativi agli utenti e offre loro la possibilità di controllare tali dati, ad esempio consentendo di scegliere un nome che non li identifichi senza fare riferimento a informazioni contenute altrove (essenzialmente, consente di usare uno pseudonimo). 

I problemi più complessi riguardano il modo in cui vengono trattati eventuali dati personali presenti nei materiali da tradurre. 

Laddove contengano dati personali, il modo più immediato e affidabile di applicare il principio di riservatezza è il seguente:

  1. Pseudonimizzare i contenuti durante la preparazione dei file: In altre parole, il project manager (o ruolo equivalente) ha il compito di sostituire i dati personali nel file del contenuto di origine con stringhe pseudoanonime prima di inviare il file al traduttore, al provider di servizi o a qualsiasi altro utente.
  2. Eliminare la chiave dopo la riconversione della pseudonimizzazione: Dopo che i contenuti tradotti sono stati finalizzati e approvati con gli pseudonimi applicati, il project manager riconverte il processo in modo che i file finali da consegnare includano i dati personali come richiesto. Il project manager può quindi eliminare in modo sicuro la chiave di pseudonimizzazione.

Infine, ricordare che il titolare del trattamento, la persona che espone il nostro software o i traduttori ai contenuti, è responsabile per i dati presenti nei contenuti in questione e per la conformità al GDPR.   Ciò non può essere gestito tramite gli strumenti del nostro software o dei responsabili del trattamento, ma possiamo aiutarvi ad essere conformi al GDPR grazie ad alcune semplici prassi. 


Come pseudonimizzare i contenuti?

In assenza di controllo umano non è possibile identificare automaticamente i dati personali con una precisione del 100%; tuttavia, sono sicuramente disponibili strumenti che agevolano il processo. Abbiamo sviluppato un'app, disponibile gratuitamente su SDL AppStore, grazie alla quale potete: 

  • Condurre ricerche avanzate sul contenuto di origine utilizzando espressioni regolari (RegEx) che possono indicare la presenza di dati personali. 
  • Sostituire identificativi specifici con token casuali. 
  • Invertire in seguito la pseudonimizzazione applicando l'app al file di destinazione. 

Per utilizzare questa app, è necessario per prima cosa esportare e convertire i vostri file nel formato XLIFF (a seconda del software che si utilizza per preparare i file da tradurre). Per proteggere i dati personali trattati tramite il software SDL, senza contare la proprietà intellettuale e altre informazioni sensibili, potrebbero essere necessari più livelli e controlli di sicurezza. 

Per valutare se la supply chain della traduzione è conforme al GDPR, eseguire la valutazione di SDL, ideata per aiutare le organizzazioni attraverso l'identificazione di tecnologie e procedure che possono essere implementate per agevolare le operazioni volte alla conformità al GDPR nel contesto del processo di traduzione e localizzazione.


Traduzione automatica e dati personali

I prodotti di traduzione automatica (MT) Software-as-a-Service di SDL non conservano in modo permanente i contenuti dei clienti inviati per la traduzione in tali applicazioni. I contenuti risiedono su questi servizi solo per il tempo necessario a fornire la traduzione. 

Se acquistate una memoria automatica SDL con adattamento della combinazione linguistica, che è addestrata con il contenuto tradotto, assicuratevi che il contenuto di addestramento non includa dati personali. Potrebbe essere necessario pseudonimizzare i dati di addestramento per garantire che non contengano dati personali.

SDL Tridion DX (SDL Tridion Sites e SDL Tridion Docs) e riservatezza fin dalla progettazione

I clienti di SDL Tridion Sites o SDL Tridion Docs, entrambi parte della suite SDL Tridion DX, devono rivedere l'implementazione relativa alla conformità al GDPR e garantire le migliori prassi per la riservatezza, la sicurezza e la crittografia. In termini di documentazione e contenuti, il vostro sito Web deve includere le vostre attuali informative sulla privacy, oltre a informare gli utenti qualora vengano raccolti dati personali e ottenere l'esplicita autorizzazione, se richiesta. Inoltre, considerare la collaborazione qualora gli utenti possono:


  • Dare il consenso al trattamento dei dati personali tramite opzione esplicita o processi di registrazione.
  • Gestire preferenze attraverso un Centro preferenze self-service.
  • Fornire la possibilità di annullare l'iscrizione, ritirare o fornire il consenso o opporsi in altro modo al trattamento dei dati.

Aggiungere dichiarazioni di non responsabilità aiuterà a stabilire il tono e le aspettative nel sito Web per gli utenti e, se desiderate creare un sito nuovo sfruttando le nuove tecnologie che hanno impatto sulla riservatezza delle persone o se state monitorando le attività della vita reale correlate ai dati personali, garantire che venga completata una valutazione d'impatto sulla protezione dei dati che vi consenta di adottare le misure appropriate per la riservatezza. Inoltre, è necessaria la trasparenza in termini di sicurezza, codici di condotta e certificazioni nonché la riduzione al minimo dei rischi tramite backup e formazione sulla riservatezza per le principali parti interessate.

In modo specifico per i siti SDL Tridion, potete sempre utilizzare qualsiasi funzionalità per tutto ciò che concerne i dati personali. Tuttavia, le funzionalità relative al contesto dell'utente, a Experience Optimization o alla razionalizzazione devono essere gestite con molta attenzione. Queste includono:

  • Ambient Data Framework
  • Context Cartridge
  • Audience Manager
  • Acceleratori e connettori CRM
  • Contenuti generati dagli utenti
  • BluePrinting
  • Contextual Templating
  • API della distribuzione dei contenuti
  • Experience Optimization

Per comprendere meglio come potete utilizzare queste funzionalità in modo conforme al GDPR, guardate il nostro webinar o rivolgetevi al vostro contatto locale di assistenza Tridion.   Ulteriori informazioni sul GDPR e su SDL Tridion DX sono disponibili nei blog della nostra community qui.

Sicurezza per la protezione dei dati

Infrastruttura sicura 

SDL offre la sicurezza appropriata per fornire riservatezza, integrità e protezione dei dati. Adottiamo il più rigoroso processo per la sicurezza al fine di garantire la protezione dei vostri dati.

Per l'utilizzo in locale del software SDL, siete voi i responsabili per la vostra infrastruttura. Il vostro reparto IT deve garantire che server e computer che ospitano il software SDL siano protetti in modo adeguato in relazione al rischio (valutato dal titolare del trattamento). 

Per il software e i servizi (basati su cloud) ospitati da SDL, SDL è un responsabile del trattamento e si impegna a rispettare i più elevati standard di sicurezza dell'infrastruttura. Tutti i prodotti gestiti da SDL sono stati distribuiti tramite un provider di servizi cloud che offre un'infrastruttura e servizi conformi a ISO27001, ISO9001, ISO27018, ecc.; tutti i siti SDL sono gestiti in linea con la norma ISO 27002 per le migliori prassi, alcuni sono certificati ISO 27001 e stiamo lavorando per estendere la certificazione ISO 27001. 

Offriamo un elevato grado di flessibilità per soddisfare i requisiti di sicurezza dei clienti. Contattateci per ottenere maggiori informazioni. Al di là dei controlli di sicurezza baseline che concordiamo con voi, possiamo anche offrire funzionalità di sicurezza avanzata opzionali tramite un'offerta di soluzioni di sicurezza gestite.

In caso di violazione 

Per il nostro software basato su cloud, se desiderate che effettuiamo attivamente il rilevamento e la segnalazione delle violazioni che richiedono notifica ai sensi del GDPR, potete avvalervi del nostro processo di gestione degli incidenti di sicurezza, progettato in linea con la norma ISO 27035. 

Sviluppo di software sicuro 

La sicurezza non è mai un aspetto secondario nel nostro processo di sviluppo. Coinvolgiamo sin dall'inizio tecnici e architetti della sicurezza e seguiamo un piano, che copre i vari livelli di infrastruttura, applicazione e database, inclusivo di valutazioni di rischi specifici, sviluppo dei controlli di sicurezza e test di sicurezza per garantire l'integrazione di misure di sicurezza adeguate e affidabile all'interno del software.

Cosa è necessario negli ambienti cloud

Il team addetto alle operazioni cloud di SDL opera in stretta collaborazione con i team e gli architetti addetti allo sviluppo allo scopo di implementare soluzioni volte a garantire la riservatezza e la sicurezza dei dati attraverso l'applicazione dei principi di riservatezza fin dalla progettazione. Per il software e i servizi (basati su cloud) ospitati da SDL, SDL è responsabile del trattamento e si impegna ad applicare i più elevati standard di sicurezza dell'infrastruttura. Tutti i prodotti gestiti da SDL sono stati distribuiti tramite un provider di servizi cloud che offre un'infrastruttura e servizi conformi a SOC (1, 2 e 3) e a ISO (27001, 9001, 27018 e così via), mentre tutti i siti SDL sono gestiti in linea con le best practice della norma ISO 27002 e alcuni sono certificati ISO 27001. SDL si sta adoperando attivamente per estendere la certificazione ISO 27001.

Per stabilire un approccio proattivo verso la riservatezza e la sicurezza dei dati nel cloud, SDL consiglia di: 

  • Stabilire certificazioni ISO: effettuare controlli in ogni fase del processo del ciclo di vita dei contenuti, proteggere i dati, fornire i processi di verifica e delineare i processi per rispondere in caso di eventi relativi alla sicurezza. 
  • Stabilire un adeguato livello di gestione della configurazione e tracciabilità dei dati: per ogni server sottoposto a supervisione, comprendere i clienti/dati correlati a tale server per una trasparenza totale. 
  • Disporre di una policy, di strumenti e di una roadmap completi in materia di sicurezza:
        - Privilegi di accesso minimi
        - Politica completa sulla gestione delle identità e degli accessi (IAM, Identity and Access Management)
        - Autenticazione multifattore e multilivello laddove appropriata
        - Solida politica sulle password: controllo regolare di tutti i registri degli accessi e degli account inattivi
        - Revisione regolare delle politiche e degli strumenti con un responsabile della riservatezza dei dati e un comitato per la sicurezza allo scopo di definire la roadmap continua 
  • Stabilire il rilevamento/la prevenzione delle intrusioni, laddove disponibili. 
  • Garantire la crittografia dei dati in transito e inattivi, quando possibile. 
  • Garantire che tutto il personale che utilizza il cloud segua corsi di formazione obbligatori sulla riservatezza/protezione dei dati. 
  • Garantire che tutti i data center/provider di servizi di hosting dispongano di tutte le certificazioni pertinenti e offrano tutte le funzioni di sicurezza richieste. 
  • Comprendere e illustrare le politiche di conservazione dei dati e applicare controlli per la gestione dei dati archiviati a seguito dei backup.
        - Disporre di una procedura di eliminazione sicura e completa 
  • Garantire che i dati attivi possano essere tracciati, congelati, scaricati, modificati e/o eliminati.
Webinar e presentazioni
Infografica
Blog

SDL ha integrato la riservatezza dei dati e il GDPR alla base della propria attività

Poiché SDL promuove esperienze digitali e favorisce eccezionali percorsi dei clienti, ha integrato la riservatezza dei dati e il GDPR alla base della propria attività, per essere certa di:

  • Trattare i dati personali in modo corretto e lecito
  • Memorizzare i dati in modo sicuro
  • Segnalare eventuali violazioni dei dati
  • Conservare le informazioni soltanto per il tempo necessario
  • Conservare registri di chi accede ai dati
  • Fornire i dati quando vengono richiesti