GDPR, il DECALOGO per capire cosa bisogna fare e mettersi in regola

Che cos'è un Brand Discovery ?

GDPR è l’acronimo di General Data Protection Regulation ovvero il Regolamento generale sulla protezione dei dati nell’Unione Europea. E’ già in vigore e il termine ultimo per mettersi in regola è il 25 maggio 2018. Cos’è, cosa bisogna fare, come farsi aiutare. La guida in dieci punti di Teorema

  1. COS’E’ il GDPR
    Il GDPR prima di tutto è un Regolamento, steso dalla Commissione Europea e pubblicato sulla “Gazzetta Ufficiale” dell’Unione Europea in data 4 maggio 2016. Ha l’ambizione di rafforzare e unificare la normativa sulla protezione dei dati personali entro i confini UE (superando i parziali regolamenti locali) e regola anche il tema dell’esportazione dei dati personali al di fuori dei confini UE.
    E’ entrato già ufficialmente in vigore il 25 maggio del 2016, ma da quella data le aziende e le organizzazioni, che devono necessariamente mettersi in regola, hanno tempo fino a due anni, e quindi fino al 25 maggio 2018. Termine ultimo. Il GPDR non è una direttiva, ma un regolamento. Per questo non c’è l’obbligo di adattare leggi nazionali locali, perché sia strettamente rispettato, ma permane il vincolo assoluto ad adeguarvisi. Va in pensione ed è da considerarsi superata la precedente Direttiva 95/46 /EC.
  2. AMBITI DI AZIONE del REGOLAMENTO
    La riforma introdotta dal GDRP impatta sostanzialmente in due ambiti introducendo due strumenti legislativi: Il Regolamento vero e proprio sulla protezione dei dati personali, quindi anche in relazione alla loro elaborazione e alla circolazione dei dati stessi. E in secondo luogo introduce la Direttiva sulla protezione dei dati inerenti alla polizia e alla giustizia penale, che si assicurerà che i dati relativi a persone offese, testimoni e persone sottoposte ad indagini preliminari (indagati) di un crimine vengano debitamente protetti nel corso di un’indagine o durante l’esecuzione di una pena. Allo stesso modo, delle leggi più armonizzate faciliteranno la cooperazione tra la polizia o i pubblici ministeri dei Paesi confinanti per combattere crimine e terrorismo efficacemente in tutti i paesi membri.
  3. QUALI I DIRITTI degli INDIVIDUI
    Con il GDPR vengono rafforzati i diritti degli individui e la protezione dei dati. Questo si traduce nella possibilità di accedere più facilmente agli stessi, nel diritto a essere informati su come i propri dati vengono processati e gestiti, nel diritto a trasferire i propri dati tra diversi fornitori in formato aperto. Inoltre ogni individuo che non vuole più che i propri dati vengano trattati, e dimostra come non ci sia motivo per conservarli, può esigere la loro cancellazione (diritto all’oblio).

Viene ulteriormente regolamentato il trattamento dei dati del minore (anche in relazione ai servizi di informazione offerti in forma diretta). Infine, e soprattutto, ogni individuo acquisisce il diritto di sapere quando i propri dati sono stati violati. Significa che: Imprese Aziende, Professionisti ed Organizzazioni devono notificare il prima possibile (48-72 ore) all’Autorità Nazionale di Vigilanza (Garante Privacy in Italia) le violazioni di dati personali più gravi, cosicché gli utenti possano prendere le misure adeguate. E’ necessario quindi fare un inventario delle informative, in essere, verificare come potrebbero cambiare con le nuove regole, per esempio dovendo introdurre l’indicazione della fonte dei dati e il tempo di conservazione.

  1. CHI VIGILA E FA RISPETTARE il REGOLAMENTO
    Il GDPR prevede una sola normativa e una sola autorità di vigilanza. Significa che le le imprese faranno riferimento ad una singola Autorità (Europea) di Vigilanza, con un risparmio stimato di 2.3 miliardi di euro all’anno (in Italia è in discussione se il ruolo del garante della privacy presente sarà soppresso o acquisirà un ruolo di controllo interno e di relazione con la nuova autorità garante internazionale). Le imprese extra-UE dovranno comunque applicare la normativa europea quando offrono servizi nell’Unione Europea. Le sansioni sono note: fino a 20 milioni di euro e a 4 percento del fatturato mondiale dell’azienda
  2. COSA BISOGNA FARE…
    a. In pratica il Regolamento applica integralmente il principio Privacy By Design e By Default, cui ogni sistema deve adeguarsi, stabilisce come il consenso al trattamento dei dati debba essere sempre valido, esplicito e revocabile. La salvaguardia della protezione dei dati deve essere integrata in prodotti e servizi sin dalla fase iniziale dei processi, spesso si cade proprio sui concetti fondamentali. Da qui l’incoraggiamento a tutela della privacy anche a pratiche come l’utilizzo di pseudonimi, soprattutto nello sfruttare i benefici dei big data con minori rischi.
    b. Il Regolamento impone di identificare in azienda una figura che assuma il ruolo di Data Protection Officer e quando le aziende hanno diverse sedi o stabilimenti dovranno averne più di uno. La normativa prevede degli obblighi complessi ma uguali per tutti, e si adatterà ai rispettivi rischi in maniera dinamica e sempre sotto la supervisione e controllo di garanzia, appunto, i Data Protection Officer (DPO).….E IN CONCRETO
  • Da un punto di vista prettamente operativo prima di tutto bisogna accertarsi che i prodotti installati siano coperti dal supporto del produttore. E che essi siano sempre aggiornati, altrimenti il rischio di esposizione di dati e informazioni è elevato. Si parte anche semplicemente dalla verifica dei sistemi operativi in azienda (per esempio utilizzate ancora Windows Xp? Windows Vista? Sapete che è concluso già anche il periodo di supporto esteso? E che per Windows 7 stesso si concluderà il supporto esteso a inizio 2020?). In senso lato, ogni applicazione ha il suo ciclo di vita, perderne il controllo vi espone a rischi inutili.
Le date di fine supporto degli OS più diffusi
Le date di fine supporto degli OS più diffusi

 

  • La sicurezza è prioritaria, sarà importante automatizzare il più possibile la gestione degli aggiornamenti per potere dimostrare di essere coperti dalle vulnerabilità appena vengono pubblicate e aver così ridotto per quanto è possibile i breach all’infrastruttura.
  • Imparate a sfruttare i vantaggi dei software sentinella, sia per individuare accessi dall’esterno e verificare le debolezze del sistema, sia per proteggere i dati da accessi non autorizzati interni. La data media di rilevamento di alcune violazioni è di 270 giorni. Un intervallo impensabile. E’ bene affidarsi a un partner (per esempio Teorema svolge anche questo servizio) che possa seguire almeno tutta la fase di analisi e implementazione delle compliance con la normativa.
  • Il regolamento non detta se e come bisogna cambiare l’infrastruttura aziendale, ma è sicuro che sfruttare il cloud permetta di governare i processi in modo organico, e soprattutto consenta di “non perdere la bussola”: si pensi alla centralizzazione di storage e servizi in cloud, o alla gestione di workload in cloud, alla possibilità di ricorrere ad architettura di posta elettronica ibride.
  • Allo stesso modo è fondamentale l’aggiornamento e il controllo non solo delle infrastrutture aziendali, ma di qualsiasi dispositivo utilizzato. Anche per smartphone e tablet in dotazione ci si deve porre gli stessi interrogativi, verificarne l’aggiornamento, studiare un modo per gestire la flotta. Proprio come si fa per i computer on premise.
  1. IL RUOLO DEL DPO
    Ecco in sintesi quale è il ruolo del DPO secondo l’art. 37 del GDPR.
    Questa figura deve essere sempre presente quando quando il trattamento è effettuato da un’autorità o da unente pubblico; quando il core business del titolare o del Responsabile consiste effettivamente in operazioni di trattamento dei dati che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;  e quando il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.Vi sono pubblicate al riguardo apposite linee guida per la verifica dell’applicabilità nei singoli casi.
  2. IL RUOLO DEI RESPONSABILI del TRATTAMENTO dei DATI
    La figura del DPO non corrisponde a quella dei Data Protection Officer (DPO) e per questo occorre fare chiarezza. Si parla in modo corretto di un vero e proprio Data processor o Responsabile del trattamento (in riferimento all’art. 28), ed è persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Spesso questa figura è rappresentata da un fornitore delegato per il trattamento di cui si deve verificare l’effettiva capacità di garantire la compliance GDPR.
    Il punto è di estremo interesse. Sono possibili infatti accordi/contratti di regolamentazione tra aziende e fornitori con questi ultimi che potrebbero trovarsi nella condizione di nominare un loro DPO. Per esempio quando ci si trova di fronte a una realtà con una vera e propria catena di trattamenti anche in un unico presidio. Accade questo quando la gestione del personale è demandata a diversi fornitori di soluzioni, anche solo in fase di processo (software per le presenze, consulenti del lavoro, successivi servizi via Web anche degli istituti di previdenza), ogni qualvolta – e sono frequenti- si assista a una diramazione di fornitori esterni di soluzioni, a partire anche solo da un unico database.
  3. GLI AMBITI DI AZIONE PER LE AZIENDE
    Si possono quindi modellare cinque ambiti di intervento in azienda:
    Il controllo pieno all’accesso ai dati fisici sia su DB strutturati sia destrutturati.
    Riportiamo per comodità di analisi le tipologie: Dati anagrafici e demografici, Canali di comunicazione (tel, email, codice postale), ID Nazionali (cod fisc, passaporto, targhe, tessere sanitarie) , Conti finanziari, Carte di credito, Identificativi digitali, Riferimenti Organizzazione di appartenenza, Social Media e Ulteriori dati sensibili (salute, religione, indirizzo di pensiero)
    b. Identificazione dei dati personali (accesso immediato, profilazione, deduplica e sicurezza).
    c. Governo dei dati: le policy, la governance tout court, il collegamento dei processi, gestione delle responsabilità.
    d. Strategie di protezione dei dati. Quali strumenti usare per anonimizzare i record di dati (tra cui appunto gli pseudonimi) e la crittografia
    e. Su tutto: Il controllo rigoroso delle procedure applicate: reportistica interna, censimenti, verifiche, gestione e rapporto con il pubblico.
  4. Il GDPR per le PMI

La nuova normativa impegna e mette sotto stress anche le PMI, affianco ai doveri esse dovrebbero ottenere anche una serie di benefici e di opportunità.
a. In caso di richieste di accesso ai dati con costi in termini di tempo e risorse per aziende e/o palesemente infondate, le PMI potranno richiedere una tariffa per fornire l’accesso e la modifica.
b. Le PMI saranno esonerate dall’obbligo di nominare un responsabile del trattamento dei dati personali nella misura in cui il trattamento dati non sia la principale attività dell’impresa.
c. Le PMI non avranno, di norma, un obbligo stringente di effettuare la “valutazione d’impatto”, a meno che non ci sia un “rischio specifico“, dato il volume di dati trattati relativi a soggetti terzi specie in modalita elettronica.
d. Le notifiche alle autorità di vigilanza sono una formalità che rappresenta un costo di 130 milioni di euro all’anno. La riforma eliminerà definitivamente quelle ordinarie, mantenendo quelle più a rischio privacy.

  1. UN DECALOGO NEL DECALOGO

Qui proponiamo un piccolo vademecum per tutti i responsabili. I punti chiave su cui verificare a che punto ci si trova su questo tema.
Fatevi una mappa chiara, tracciate un percorso per aggiornare i vostri sistemi, definire le procedure di gestione, c’è molto meno tempo di quanto potrebbe sembrare. L’aspetto positivo è che ci sono realtà che sanno bene cosa fare e posso aiutarvi.

b. Avete subito un attacco, sapete cosa dovete fare e dire ai clienti in caso di violazione della privacy? Prevedete un piano di comunicazione per informare gli utenti con tutte le relative procedure di comunicazione non solo verso gli utenti, ma anche verso l’autorità competente.
c. Disponete di un registro delle attività di trattamento? (art. 30). Cercate almeno di scoprire cosa sia. Disporre di strumenti di reporting aziendali allo stato dell’arte può fare la differenza
d. Privacy by Design: Pensate allo spirito di fondo del GDPR, in qualsiasi processo ponetevi questa domanda prima di qualsiasi altra. Per effettuare il Privacy Impact Assessment sarà necessario affidarsi agli esperti che possano minimimizzare l’impatto e contenere i costi di gestione degli adempimenti.
e. La rendicontazione è OK? La cultura del monitoring sui vostri processi è l’unica bussola che può aiutarvi a comprendere se state facendo bene, e sarà lo strumento guida anche per i vostri dipendenti.
f. Il consenso al trattamento non è tutto. Potete investire del tempo per comprendere se vi rivolgete a soggetti che hanno prestato il loro consenso al trattamento, o potete viceversa fare a meno in quanto avete un interesse legittimo nel trattamento che non è subordinato agli interessi della persona… Non sempre avete bisogno di ottenere il consenso delle persone interessate per elaborare i loro dati. E il consenso è solo uno dei diversi modi per legittimare l’attività di trattamento e potrebbe non essere la migliore (ad esempio può essere ritirato)… Certo c’è bisogno di un esperto che vi aiuti.
g.Occhi aperti sulla regolamentazione. Fissati dei bookmark e incaricate qualcuno sveglio di controllare regolarmente eventuali aggiornamenti.
h. Chi è titolare, ha i suoi privilegi. Vale la pena non accontentare le richieste di un vostro cliente o fornitore? Anche se chiede di più? Essere pronti a soddisfare le richieste dei titolari dei dati torna solo a vostro vantaggio, in qualsiasi caso.
i. Trasferire i dati non è come detenerli, approfondite anche questa tematica.
l.Non siete soli, adeguarsi al GDPR è problema comune a tutta l’UE, il vostro caso non può essere l’unico. L’unica vera colpa è non pensarci.Gli esperti che possono aiutarvi non mancano….A questo proposito Teorema ha organizzato un vero e proprio Roadshow.

image006