L'Impegno di SysAid per il General Data Protection Regulation (GDPR)

Ultimo Aggiornamento: 1 Marzo 2018

SysAid Tiene Seriamente in Considerazione la Privacy

Il General Data Protection Regulation (GDPR) è l'iniziativa legislativa più significativa in materia di privacy avanzata dall'Unione Europea negli ulitmi vent'anni . Sostituisce la Direttiva del 1995 sulla protezione dei dati personali (EU Direttiva 95/46/EC), rafforzando i diritti dei cittadini europei circa i loro dati e creando un sistema normativo uniforme per tutti i Paesi UE.

Non abbiamo iniziato ora a tenere in seria considerazione la privacy. Come uno dei maggiori fornitori ITSM, con migliaia di account sia cloud sia on-premise, la privacy dei nostri clienti è stata sempre tra le nostre priorità.

In particolar modo con la nostra offerta Cloud, SysAid garantisce la piena conformità al regolamento GDPR in qualità di responsabile del trattamento (data processor) anche prima della data di attuazione del 25 maggio 2018. Il nostro impegno è rivolto a consentire ai nostri clienti, in qualità di titolari del trattamento (data controller), di detenere il completo controllo sui dati personali e di assisterli negli adempimenti agli obblighi del GDPR. Nel caso delle nostre soluzioni On-Premise, continueremo ad assicurare che il nostro prodotto consenta ai nostri clienti di adempiere alle responsabilità sai come titolari sia come responsabili dei trattamenti.

Stato Attuale

Adempiamo ai requisiti in materia di protezione dei dati GDPR applicabili ai responsabili del trattamento.

Trattamento dei Dati

La nostra capacità di ottemperare agli obblighi in qualità di responsabile del trattamento rispetto ai nostri clienti, titolari del trattamento, è parte integrante della nostra conformità al GDPR nei casi in cui i responsabili del trattamento utilizzano SysAid per trattare dati personali. In riferimento a questo, SysAid sta eseguendo un processo di verifica interna per assicurare la massima protezione dei dati e per migliorare processi e procedure, laddove sia necessario apportare miglioramenti.

Controlli

La nostra Information Security Policy e i relativi piani di lavro sono periodicamente sottoposti a processi di revisione al fine di assicurare piena conformità con i requisiti e con gli obblighi imposti dal GDPR al responsabile del trattamento.

I nostri clienti cloud dipendono da noi in materia di gestione e protezione degli ambienti. Solo un numero limitato di ruoli all'interno della nostra organizzazione sono autorizzati ad accedere agli ambienti, solo quando necessario in accordo con stringenti procedure e linee guida. Le nostre misure aderiscono alle best practice di information security, incluse crittografica e autenticazione multi-fattore.

Protezione dei Dati

SysAid garantisce la conformità rispetto alle best practice in materia di sicurezza dei dati e delle informazioni. In linea con il GDPR, misure idonee sono attuate in base a diversi fattori, come la sensibilità dei dati, ai rischi individuali in relazione a violazioni di sicurezza, lo stato dell'arte delle tecnologie utilizzate e la natura dei trattamenti. Queste misure includono l'anonimizzazione e la cifratura dei dati nei processi di investigazione e risoluzione. Test di efficacia delle misure di sicurezza implementate sono oggetto di verifiche regolari e di miglioramento continuo.

Trasferimento dei Dati

I nostri clienti possono scegliere che il loro ambienti siano trattati in data center localizzati in UE. SysAid garantisce che il trattamento dei dati dei clienti cloud rimmarà nella regione richiesta dal cliente.

Responsabili Esterni

Gli account cloud di SysAid sono ospitati su Amazon Web Services. Le autorità europee riunite nell'Article 29 Working Party hanno approvato l'AWS Data Processing Agreement (DPA), nel quale si assicura ai clienti il rispetto dei più elevati standard di protezione dei dati nel rispetto delle norme vigenti. Nessun'altra parte è coinvolta nel servizio erogato da SysAid.

Guida per i Clienti alla Gestione delle Richieste degli Interessati

Abbiamo redatto una guida per i nostri clienti allo scopo di aiutarli a gestire e a rispondere alle domande e richieste provienienti dagli interessati secondo i principi GDPR in materia di diritti degli interessti. Questa sezione sarà aggiornata mana mano in base alle informazioni e ai feedback che riceveremo.

Richieste e Risposte

Diritto: All'Informazione
Che cosa significa?
Transparenza – quali dati personali sono in vostro possesso e per quali scopi sono trattati.

Azione:
In Tool > User Management, un amministratore con i relativi permesse può selezionare un utente finale e trovare tutti i dati strutturati tracciati per quell'utente. I dati possono essere recuperati anche da chat, informazioni relative al login o alle sessioni attive o alle attività svolte con e in SysAid.


Diritto: All'Accesso
Che cosa significa?
Diritto a ricevere una copia dei dati personali.

Azione:
Qualsiasi informazione disponibile in Tool > User Management può essere esportata in formato Excel o PDF.


Diritto: Alla Rettifica
Che cosa significa?
Diritto di richiedere la modifica o aggiornamento dei dati.

Azione:
Gli amministratori possono determinare quali campi del profilo dell'utente finale rendere modificabili sul Portale Self-Service. Gli utenti possono autonomamente verificare la correttezza delle informazioni relative al loro profilo ed eventualmente anche aggiornarle.


Diritto: All'Opposizione ai Processi Decisionali Automatizzati
Che cosa significa?
Diritto di richiedere l'intervento umano in alternativa a processi automatizzati.

Azione:
Come ogni strumento ITSM, il ciclo di vita di un ticket include regole di escalation e di assegnazione. A riguardo di questo diretto, il cliente deve spiegare all'utente finale che, in questo caso, la richiesta di impedire processi automatizzati non consente all'utente di fruire del servizio offerto.


Diritto: Di Limitazione
Che cosa significa?
Diritto di richiedere un blocco del trattamento dei dati personali.

Azione:
L'utente può essere disattivato ma non cancellato. In questo scenario, l'utente non riceverà più il servizio.


Diritto: Alla Portabilità
Che cosa significa?
Diritto di ricevere i dati personali, in formato elettronico utilizzabile, per trasmetterli ad un altro titolare.

Azione:
Qualsiasi informazione disponibile in Tool > User Management può essere esportata in formato Excel o PDF.


Diritto: Alla Cancellazione
Che cosa significa?
Diritto di cancellazione di tutti i dati personali dell'interessato. Comunemente si parla di diritto all'oblio.

Azione:
L'eliminazione di un utente comporta anche l'eliminazione dei dati strutturati. I contenuti delle interazioni degli utenti rimarranno sul sistema. Per cancellare anche questi contenuti, per rispettare il diritto all'oblio, l'amministratore deve eseguire una query su tutti i ticket in cui l'interessato è coinvolto e cancellarli prima di cancellare il relativo utente finale.


Per qualsiasi domanda, commento o suggerimento, contatt il nostro Data Privacy Officer