Studio 2021 Soluzioni Risorse
Store Contatti
Italiano
English 简体中文 Deutsch Français 日本語 한국어 Español Italiano
Store Contatti

GDPR e supply chain dei contenuti

Il percorso del GDPR e il suo impatto sulla creazione, traduzione, esperienza digitale e distribuzione dei contenuti

Contattateci per informazioni sul GDPR

Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea

A seguito dei piani della Commissione europea per la riforma della protezione dei dati, al fine di rendere l'Europa "idonea all'era digitale", è stato creato il quadro di riferimento del Regolamento generale sulla protezione dei dati (GDPR), la cui legislazione è ora entrata in vigore.

Il GDPR rappresenta la legislazione dell'Unione europea (UE) concepita per fornire alle persone maggiore controllo sui propri dati personali: dati relativi a un individuo identificato o identificabile oppure, in altre parole, dati che da soli o se combinati con altri dati consentono l'identificazione di una persona.

Il GDPR fornisce un insieme di regole su come le organizzazioni all'interno e all'esterno dell'UE e dello Spazio economico europeo (SEE) devono usare i dati personali per il marketing o per la vendita di beni e servizi, al fine di garantire che le informazioni siano protette, elaborate e memorizzate in modo sicuro.  Ha lo scopo di rafforzare e uniformare la riservatezza dei dati per tutte le persone all'interno dell'UE/SEE nonché dei dati personali elaborati da organizzazioni dell'UE/SEE ovunque nel mondo. 

Nonostante la prospettiva di doversi conformare al GDPR possa sembrare ardua, presenta in realtà un'opportunità per creare la fiducia dei clienti esistenti e potenziali, rendendoli partecipi della vostra strategia relativa ai dati e consentendovi di avere successo nella nuova era digitale.

GDPR

Capire le complessità del GDPR

Nell'era della comprensione, è bene capire i quattro concetti chiave del GDPR e il significato reale di dati personali e del relativo trattamento:

  • Dati personali - Qualsiasi informazione riguardante una persona fisica identificata o identificabile.
  • Elaborazione - Qualsiasi operazione o insieme di operazioni eseguite su dati personali o insiemi di dati personali.
  • Titolare del trattamento - Persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.
  • Responsabile del trattamento - Persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento.

Come affrontare la sfida del GDPR

Per affrontare la sfida del GDPR ed essere certi di disporre dei componenti giusti per la conformità, l'Articolo 5 del GDPR delinea chiaramente sei principi relativi a tutti i dati personali e alle modalità di trattamento. Il titolare del trattamento dei dati è responsabile per, e deve poter dimostrare, la conformità con questi principi e disporre dei mezzi per rispondere alle eventuali richieste da parte delle persone relative ai loro dati.  Tuttavia, il titolare del trattamento dei dati può fare affidamento sulle disposizioni del GDPR per limitare la portata delle risposte a tali richieste.

  • Trattamento in modo lecito, corretto e trasparente nei confronti dell'interessato.
  • Raccolta per finalità determinate, esplicite e legittime e successivo trattamento in modo che non sia incompatibile con tali finalità.
  • Garantire adeguatezza, pertinenza e limitatezza a quanto necessario rispetto alle finalità per le quali i dati sono trattati ("minimizzazione dei dati").
  • Garantire che i dati siano esatti e, se necessario, aggiornati.
  • Consentire l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati.
  • Trattamento in maniera da garantire un'adeguata sicurezza dei dati personali.

Riservatezza fin dalla progettazione e per impostazione predefinita

Per muovervi in modo adeguato attraverso il GDPR e la supply chain dei contenuti, dovete comprendere quali dati personali state elaborando, adottando i giusti processi e garantendo la trasparenza con i vostri clienti. SDL è in grado di fornirvi le giuste indicazioni e l'assistenza per adottare le misure appropriate per essere conformi con il GDPR per quanto riguarda il percorso dei vostri contenuti.

Il GDPR obbliga per legge i titolari del trattamento dei dati a implementare la "protezione fin dalla progettazione e per impostazione predefinita", che significa considerare come fondamentale la gestione della riservatezza dei dati personali durante l'intero ciclo di vita della loro elaborazione, in tutti i progetti, dall'acquisizione alla distruzione. 

Per soddisfare la riservatezza fin dalla progettazione, quando sviluppiamo il nostro software, abbiamo integrato l'anonimato nei processi e nei sistemi che acquisiscono i dati, aderendo ai principi dello sviluppo di software sicuro. Per gli standard che abbiamo raggiunto, oggi il nostro software è già utilizzato da alcune delle organizzazioni a livello mondiale più attente alla questione della privacy, tra cui agenzie di intelligence, banche ed enti governativi, ed è parte integrante dei loro processi di protezione della riservatezza dei dati. 

Quando utilizza il software SDL, la vostra organizzazione è titolare del trattamento dei dati personali trattati tramite il software SDL (in sede o nel cloud). Se utilizzate la nostra offerta Software as a Service (SaaS), SDL sarà il responsabile del trattamento per quanto riguarda la conservazione o la trasmissione di dati personali. Per ottenere la riservatezza fin dalla progettazione, garantiamo che la distribuzione SaaS abbia luogo in ambienti sicuri per una protezione adeguata.

La nostra promessa: una guida nel percorso dei vostri contenuti GDPR

SDL si impegna ad aiutare i clienti a rispettare la conformità con il GDPR, fornendo le funzionalità necessarie per guidarvi nel processo della supply chain dei vostri contenuti: dalla creazione alla traduzione, fino alla distribuzione.  Forniamo indicazioni su come utilizzare le funzionalità nel nostro software in modo responsabile per assicurarvi la conformità con il GDPR.

Facendo clic sulle sezioni di seguito otterrete informazioni dettagliate su come il nostro software può assistervi.

Software e servizi di traduzione SDL

Per prima cosa, pensate ai problemi legati alla riservatezza per le persone che utilizzano il nostro software. 

In linea con la riservatezza fin dalla progettazione, il nostro software di traduzione riduce al minimo i dati conservati relativi agli utenti e offre loro la possibilità di controllare tali dati, ad esempio consentendo di scegliere un nome che non li renda identificabili senza fare riferimento a informazioni contenute altrove (essenzialmente, consente di usare uno pseudonimo). 

I problemi più complessi riguardano il modo in cui vengono trattati eventuali dati personali presenti nei materiali da tradurre. 

Laddove contengano dati personali, il modo più immediato e affidabile di applicare il principio di riservatezza è il seguente:

  1. Pseudonimizzare i contenuti durante la preparazione dei file: in altre parole, il project manager (o ruolo equivalente) ha il compito di sostituire i dati personali nel file del contenuto di origine con stringhe pseudoanonime prima di inviare il file al traduttore, al provider di servizi o a qualsiasi altro utente.
  2. Eliminare la chiave dopo la riconversione della pseudonimizzazione: una volta che i contenuti tradotti sono stati finalizzati e approvati con gli pseudonimi applicati, il project manager riconverte il processo in modo che i file finali da consegnare includano i dati personali come richiesto. Il project manager può quindi eliminare in modo sicuro la chiave di pseudonimizzazione.

Infine, ricordate che il titolare del trattamento, la persona che espone il nostro software o i traduttori ai contenuti, è responsabile per i dati presenti nei contenuti in questione e per la conformità al GDPR.   Ciò non può essere gestito tramite gli strumenti del nostro software o dei responsabili del trattamento, ma possiamo aiutarvi ad essere conformi al GDPR grazie ad alcune semplici prassi. 


Come pseudonimizzare i contenuti?

In assenza di controllo umano non è possibile identificare automaticamente i dati personali con una precisione del 100%; tuttavia, sono sicuramente disponibili strumenti che agevolano il processo. Abbiamo sviluppato un'app, disponibile gratuitamente su SDL AppStore, grazie alla quale potete: 

  • Condurre ricerche avanzate sul contenuto di origine utilizzando espressioni regolari (RegEx) che possono indicare la presenza di dati personali. 
  • Sostituire identificativi specifici con token casuali. 
  • Invertire in seguito la pseudonimizzazione applicando l'app al file di destinazione. 

Per utilizzare questa app, è necessario per prima cosa esportare e convertire i file nel formato XLIFF (a seconda del software che si utilizza, per preparare i file da tradurre). Per proteggere i dati personali trattati tramite il software SDL, senza contare la proprietà intellettuale e altre informazioni sensibili, potrebbero essere necessari più livelli e controlli di sicurezza. 

Per sapere se la vostra supply chain della traduzione è conforme al GDPR, eseguite la valutazione di SDL, ideata per aiutare le organizzazioni a identificare tecnologie e procedure che possono essere implementate per supportare la conformità al GDPR nel contesto del processo di traduzione e localizzazione.


Traduzione automatica e dati personali

I prodotti di traduzione automatica (MT) Software-as-a-Service di SDL non conservano in modo permanente i contenuti dei clienti inviati per la traduzione in tali applicazioni. I contenuti risiedono su questi servizi solo per il tempo necessario a fornire la traduzione. 

Se acquistate una memoria automatica SDL con adattamento della combinazione linguistica, che è addestrata con il contenuto tradotto, assicuratevi che il contenuto di addestramento non includa dati personali. Potrebbe essere necessario pseudonimizzare i dati di addestramento per garantire che non contengano dati personali.

SDL Tridion DX (SDL Tridion Sites e SDL Tridion Docs) e riservatezza fin dalla progettazione

I clienti di SDL Tridion Sites o SDL Tridion Docs, entrambi parte della suite SDL Tridion DX, devono rivedere la loro implementazione per la conformità al GDPR e garantire le best practice per la riservatezza, la sicurezza e la crittografia. In termini di documentazione e contenuti, il sito Web deve includere le vostre attuali informative sulla privacy, oltre a informare gli utenti qualora vengano raccolti dati personali e ottenere l'esplicita autorizzazione, se richiesta. Inoltre, considerate il coinvolgimento degli utenti dove questi possono:


  • Dare il consenso al trattamento dei dati personali tramite opzione esplicita o processi di registrazione.
  • Gestire preferenze attraverso un Centro preferenze self-service.
  • Avere la possibilità di annullare l'iscrizione, ritirare o fornire il consenso od opporsi in altro modo al trattamento dei dati.

Aggiungere dichiarazioni di non responsabilità aiuterà a stabilire il tono e le aspettative nel sito Web per gli utenti e, se desiderate creare un nuovo sito sfruttando le nuove tecnologie che hanno impatto sulla riservatezza delle persone o se state monitorando attività della vita reale correlate ai dati personali, assicuratevi di completare una valutazione d'impatto sulla protezione dei dati che vi consenta di adottare le misure appropriate per la riservatezza. Inoltre, è necessaria la trasparenza in termini di sicurezza, codici di condotta e certificazioni nonché la riduzione al minimo dei rischi tramite backup e formazione sulla riservatezza per le principali parti interessate.

In modo specifico per i siti SDL Tridion, potete sempre utilizzare qualsiasi funzionalità per tutto ciò che concerne i dati personali. Tuttavia, le funzionalità relative al contesto dell'utente, all'ottimizzazione o alla razionalizzazione dell'esperienza devono essere gestite con molta attenzione. Queste includono:

  • Ambient Data Framework
  • Context Cartridge
  • Audience Manager
  • Acceleratori e connettori CRM
  • Contenuti generati dagli utenti
  • BluePrinting
  • Contextual Templating
  • API della distribuzione dei contenuti
  • Experience Optimization

Per comprendere meglio come potete utilizzare queste funzionalità in modo conforme al GDPR, guardate il nostro webinar o rivolgetevi al vostro contatto locale di assistenza Tridion.   Ulteriori informazioni sul GDPR e su SDL Tridion DX sono disponibili nei blog della nostra community qui.

Sicurezza per la protezione dei dati

Infrastruttura sicura 

SDL offre la sicurezza appropriata per fornire riservatezza, integrità e protezione dei dati. Adottiamo il più rigoroso processo per la sicurezza al fine di garantire la protezione dei vostri dati.

Per l'utilizzo in locale del software SDL, siete voi i responsabili per la vostra infrastruttura. Il vostro reparto IT deve garantire che server e computer che ospitano il software SDL siano protetti in modo adeguato in relazione al rischio (valutato dal titolare del trattamento). 

Per il software e i servizi (basati su cloud) ospitati da SDL, SDL è un responsabile del trattamento e si impegna a rispettare i più elevati standard di sicurezza dell'infrastruttura. Tutti i prodotti gestiti da SDL sono stati distribuiti tramite un provider di servizi cloud che offre un'infrastruttura e servizi conformi a ISO27001, ISO9001, ISO27018, ecc.; tutti i siti SDL sono gestiti in linea con la norma ISO 27002 per le best practice, alcuni sono certificati ISO 27001 e stiamo lavorando per estendere tale certificazione. 

Offriamo un elevato grado di flessibilità per soddisfare i requisiti di sicurezza dei clienti. Vi invitiamo a contattarci per maggiori informazioni. Al di là dei controlli di sicurezza di base che concordiamo con voi, possiamo anche offrire funzionalità di sicurezza avanzata opzionali, tramite un'offerta di soluzioni di sicurezza gestite.

In caso di violazione 

Per il nostro software basato su cloud, se desiderate che effettuiamo attivamente il rilevamento e la segnalazione delle violazioni che richiedono notifica ai sensi del GDPR, potete avvalervi del nostro processo di gestione degli incidenti di sicurezza, progettato in linea con la norma ISO 27035. 

Sviluppo di software sicuro 

La sicurezza non è mai un aspetto secondario nel nostro processo di sviluppo. Coinvolgiamo sin dall'inizio tecnici e responsabili dell'architettura che si occupano di sicurezza e seguiamo un piano che copre i vari livelli di infrastruttura, applicazione e database e che comprende valutazioni di rischi specifici, sviluppo dei controlli di sicurezza e test di sicurezza, per garantire l'integrazione di misure di sicurezza adeguate e affidabili all'interno del software.

Cosa è necessario negli ambienti cloud

Il team addetto alle operazioni cloud di SDL collabora strettamente con i team e gli architetti addetti allo sviluppo per implementare soluzioni ideate per garantire la riservatezza e la sicurezza dei dati; lavoriamo per integrare la riservatezza fin dalla progettazione. Per il software e i servizi (basati su cloud) ospitati da SDL, SDL è un responsabile del trattamento e si impegna a rispettare i più elevati standard di sicurezza dell'infrastruttura. Tutti i prodotti gestiti da SDL sono stati distribuiti tramite un provider di servizi cloud che offre un'infrastruttura e servizi conformi a ISO27001, ISO9001, ISO27018, ecc.; tutti i siti SDL sono gestiti in linea con la norma ISO 27002 per le best practice, alcuni sono certificati ISO 27001 e stiamo lavorando per estendere tale certificazione.

Tuttavia, se lavorate in un ambiente cloud dovete comprendere il vostro ruolo per garantire la riservatezza dei dati fin dalla progettazione:

  • Stabilire certificazioni ISO: Effettuare controlli in ogni fase del processo nel ciclo di vita dei contenuti.
  • Stabilire la gestione della configurazione: Per ogni server che supervisioniamo, comprendere i clienti/dati correlati a tale server per una trasparenza totale. 
  • Disporre di un completo set di strumenti/una roadmap per la sicurezza: 
        - Diminuire l'accesso privilegiato
        - Criteri di autenticazione 
  • Garantire il rilevamento/la prevenzione delle intrusioni (solo AWS).
  • Garantire la crittografia in transito e a riposo (non disponibile per tutti i prodotti).
  • Disporre di certificazione ISO: 
        - Protegge i dati
        - Processi di verifica
        - Delinea processi per rispondere in caso di eventi relativi alla sicurezza 
  • Tutto il personale interessato al cloud deve obbligatoriamente seguire la formazione sulla riservatezza/protezione dei dati.
  • Garantire che i nostri data center/fornitori effettuino tutte le relative certificazioni e offrano tutte le relative funzionalità di sicurezza richieste.
  • I dati di backup dell'applicazione vengono conservati per 28 giorni (in backup) e quindi eliminati:
        - Adottare una procedura di eliminazione 
  • È possibile eliminare i dati attivi.
Webinar e presentazioni
Infografica
Blog
Webinar registrato
Il GDPR mette a rischio la supply chain della vostra traduzione. Siete pronti a rispondere?
Presentazione
Protezione della supply chain di traduzione
Infografica
GDPR: Il diritto all'oblio
Infografica
GDPR: Controllo geografico dei dati
Infografica
GDPR: Trasferimento, trattamento e conservazione dei dati
Blog
GDPR. Cinque consigli importanti per la formazione della vostra forza lavoro globale
Blog
GDPR. Avete considerato le informazioni di identificazione personale?
Blog
Tradurre i rischi del GDPR nella realtà
Blog
GDPR. Comprendere il percorso della traduzione
Blog
Cos'è il Regolamento generale sulla protezione dei dati (GDPR)?
GDPR

SDL ha integrato la riservatezza dei dati e il GDPR alla base della propria attività

Poiché SDL promuove esperienze digitali e favorisce eccezionali percorsi dei clienti, ha integrato la riservatezza dei dati e il GDPR alla base della propria attività, per essere certa di:

  • Trattare i dati personali in modo corretto e lecito
  • Memorizzare i dati in modo sicuro
  • Segnalare eventuali violazioni dei dati
  • Conservare le informazioni soltanto per il tempo necessario
  • Conservare registri di chi accede ai dati
  • Fornire i dati quando vengono richiesti