20 Maggio 2019

GDPR

2.1 GDPR Compliance

2.1.1    Introduzione GDPR

Il 25 maggio  del  2018,  la  Commissione  europea ha decretato l’effettiva applicazione delle

norme contenute nel R.E. 679/2016, meglio conosciuto come GDPR, al fine di far allineare

tutte le aziende ad un uso più confacente all’attuale situazione garantendo integrità e

riservatezza dei dati concessi dai cittadini dell’Unione.

Il GDPR è di gran lunga il regolamento più completo ed efficace al mondo in materia di Privacy dei Dati,  voluto  dal  governo  europeo  per  far  fronte  in maniera robusta al rischio sempre più diffuso di perdita o sottrazione impropria dei dati.

E’  ormai noto che i dati sono il cuore della trasformazione Digitale, una priorità assoluta per moltissime  aziende  di tutto  il  mondo.  La  trasformazione  ICT  attraverso  l’adozione  di soluzioni  e  tecnologie innovative è infatti riconosciuta come l’elemento determinante per il successo sul mercato. La digitalizzazione garantisce competitività al proprio business, ma porta con sé attenzioni e rischi per la gestione di una quantità di dati che cresce a dismisura.

I problemi di gestione della sicurezza dei dati sono sempre più rilevanti e diffusi (secondo il rapporto Clusit 2017 gli  attacchi  informatici  gravi  a  livello  globale  nel  primo  semestre  2017  sono  cresciuti  dell’8,35%  rispetto  al secondo semestre 2016) e hanno spesso causato  criticità  elevate  o  addirittura  irreversibili  alle  aziende  coinvolte,  è  fondamentale  pertanto  gestire  la sicurezza in maniera adeguata e preventiva per assicurare un percorso nella loro trasformazione digitale che sia veramente vincente e sostenibile.

A quali aziende si applica il GDPR?

Il GDPR si applica a tutte le Organizzazioni (inclusi enti pubblici, imprese private e studi professionali) che a vario  titolo  trattano  dati  classificabili  come  “dati  personali”  di  cittadini  residenti  nella  UE,  ovvero  qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).

Cosa chiede il GDPR alle aziende?

È disponibile un’ampia letteratura e materiale di sintesi sul GDPR, tra questi il whitepaper “Come adeguarsi al GDPR: un modello di Assessment” disponibile anche sul sito del Garante.

In essenza però è utile ricordare che il regolamento ruota attorno a 4 principi

  • ACCOUNTABILITY    &    GOVERNANCE.    Il    Regolamento    pone    con    forza    l’accento    sulla “responsabilizzazione e governo” di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure tecniche e organizzative finalizzate ad assicurare l’applicazione del regolamento
  • BREACH NOTIFICATION. L’art. 33 del Regolamento impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in  cui  ne  viene  a  conoscenza  e  comunque  “senza  ingiustificato  ritardo”,  ma  soltanto  se  è  ritento probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
  • STORAGE  LIMITATION.  I  dati personali (art.5)  non  dovranno  essere  conservati per  un  periodo  di tempo maggiore di quanto sia strettamente necessario in relazione alla finalità del trattamento.
  • INDIVIDUALS’ RIGHTS. Il Regolamento introduce nuovi diritti come il Diritto di Accesso (art.5) che obbliga le aziende a fornire agli individui l’accesso ai propri dati; il Diritto alla Portabilità (art. 20) cioè la possibilità  di  trasferire  i  dati  ad  un’altra  organizzazione  in  modo  semplice  e  completo;  il  Diritto  di Cancellazione (art.17) cioè il diritto alla cancellazione dei dati personali quando richiesto o quando non sussistono più le condizioni per il trattamento o la conservazione. Vi sono 6 figure chiave coinvolte nei processi aziendali:
  •   Persona fisica: il proprietario dei dati.
  • Controller: il titolare del trattamento. È colui che da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali” (direttiva 95/46, art. 2 lett. d), e decide quali categorie di dati personali devono essere registrate (Convenzione 08, art. 2 lett. d).
  • Processor: è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.
  •   Data Protection Officer (DPO): si tratta del responsabile della protezione dei dati.
  •   Supervisory Authority: il garante per la protezione dei dati personali.

European Data Protection Board (EDPB).

Rispetto alla precedente legge della Privacy italiana, le principali novità riguardano:

  • Privacy  by  Design  by  Default:  la  definizione  dei  requisiti  di  riservatezza  e  protezione  dei  dati personali deve essere prevista fin dalle prime fasi di progettazione di prodotti o servizi. I requisiti di sicurezza e protezione dei dati personali si applicano automaticamente quando un Cliente acquista un Prodotto o Servizio.
  • Nuova figura professionale: il DPO, che sarà responsabile dell’applicazione del GDPR. La nomina è obbligatoria per la Pubblica Amministrazione e tutte le Organizzazioni che trattano o processano volumi elevati di Dati Personali.
  • Nuovo obbligo di comunicazione al Garante Privacy e agli utenti finali in caso di data breach.
  • Nuovo Registro del trattamento dei dati personali: il Registro dei Trattamenti è un documento in cui il Titolare deve tenere traccia documentale delle operazioni di trattamento effettuate indicando una serie di informazioni di dettaglio, quali le finalità del trattamento, le categorie di interessati e dei dati personali, il periodo di conservazione dei dati, gli eventuali trasferimenti verso Paesi terzi e le misure di sicurezza applicate.
  • Nuovi diritti per gli utenti: accesso, portabilità, oblio.
  • Comunicazione e Formazione: sarà necessario rendere tutta la popolazione aziendale consapevole degli impatti del GDPR e pianificare un programma di istruzione e formazione completo per i dipendenti che accedono a dati personali.

Quali sono le sanzioni?

Fino  a  20  milioni di euro  o  fino  al al 4%  del fatturato  annuo  globale  dell’anno  precedente  alla  sanzione,  a seconda di quale sia superiore.

È essenziale iniziare a pianificare l’approccio alla normativa GDPR il più presto possibile e coinvolgere le figure chiave della propria organizzazione. In funzione del settore di mercato e dati trattati, ciò potrebbe comportare implicazioni più o meno significative rispetto al budget, la tecnologia, il personale, alla comunicazione e alla politica aziendale.

GDPR: come posso rendere la mia azienda compliant in tempi rapidi?

Prima di qualsiasi intervento, è necessario innanzitutto analizzare la situazione aziendale attuale rispetto ai dati gestiti e alle prescrizioni del nuovo regolamento ed individuare eventuali aree non colmate dai processi aziendali   esistenti.   Dall’analisi   possono   emergere   interventi   di   adeguamento   di   tipo   tecnologico   e/o organizzativo. In ambito tecnologico l’azienda può far evolvere le proprie infrastrutture e applicativi ICT oppure adottare  soluzioni  di  provider  esterni  che  sono  già  compliant  GDPR.  In  ambito  organizzativo  gli  interventi riguardano invece principalmente introduzione di nuove procedure e processi, nomine di funzioni aziendali, adeguamento di contrattualistica legale, e assicurazioni.

Tutte queste attività richiedono un ingente effort ed un know how che le piccole e medie imprese spesso non sono in grado di sostenere.

Per semplificare il percorso di adeguamento e messa a norma, è stata sviluppata la suite 6piusicuro, una soluzione  integrata  e  completa  per  le  aziende,  costituita  da  un  portafoglio  di  servizi  tecnologici  e organizzativi, questi ultimi realizzati con partner riconosciuti che lavorano da anni sui temi della Privacy. Grazie alla suite 6piusiciro le aziende possono affidarsi ad esperti capaci di individuare e implementare in tempi ridotti gli interventi minimi ed essenziali per la compliance normativa. Il GDPR non ha infatti lo stesso impatto su tutte le organizzazioni e l’approccio flessibile consente di individuare le soluzioni più adeguate ed efficaci per ciascuna azienda.

2.1.2    Benefici

  •     VELOCITÀ: la normativa non aspetta e la Suite è già un processo pronto e strutturato per le aziende in grado di ridurre i tempi. Per tutto ciò che riguarda gli interventi sui processi specifici dell’azienda un approccio semplice e già collaudato da un team di esperti consente di completare la messa a norma in pochi giorni/settimane.
  •     COMPLETEZZA:  la  suite  6piusicuro  copre  tutti  i bisogni tecnologici ed  organizzativi che  possono essere necessari ai fini della compliance. Un solo partner per traguardare la messa a norma e una soluzione completa chiavi in mano.
  •     SOLUZIONI TECNOLOGICHE INNOVATIVE: La Suite poggia le sue fondamenta su soluzioni di innovazione tecnologica di primo ordine
  •     EXPERTISE: mette a disposizione esperti che vantano oltre 30 anni di esperienza nel settore IT insieme ad un team di partner altamente professionali

2.1.3   GDPR Compliance

Nella Suite è stato sviluppato un modello documentale e procedurale che per mette di generare una vero manuale di compliance costituito da un questionario generale per determinare l’attuale livello di compliance aziendale.

Lo scopo dell’analisi della compliance è quello di fornire un quadro esaustivo e dettagliato riguardo ai dati aziendali e quali tra questi sono soggetti ai vincoli normativi, indicando pertanto:

o  Quali dati esistono

o  In che modo vengono trattati i dati

o  Dove sono custoditi i dati

o  Chi ha accesso ai dati

o  Quali sono le policy, le procedure e le misure di sicurezza

Una volta raccolti tutti gli input dell’assessment, viene elaborato un report con i risultati dell’analisi (sintesi e dettaglio). Il report può essere utilizzato dall’azienda anche senza necessariamente dover acquistare gli altri servizi di messa a norma della suite.

Il report viene consegnato e illustrato al cliente e contiene:

    Gap Analysis: le aree tecnologiche e organizzative che non rispettano la normativa GDPR, tra cui le principali:

o  Trattamento Dati- Registro del Trattamento Dati

o  Gestione Dati

o  Informativa

o  Diritti degli Utenti

o  Struttura di Governance

o  Tutela Dati

o  Data Protection Impact Analysis

    Risk assessment: analisi dei rischi che incombono sui dati con la determinazione relativamente agli eventi della pericolosità, della probabilità e della gravità determinate

    Piano Interventi: è un piano d’azione integrato per determinare quali misure sono necessarie per la messa  a  norma  e  quali  contromisure  sono  necessarie  ad  evitare  il  generarsi  degli  eventi  previstinell’analisi dei rischi.

Il report è la base per produrre il documento GDPR composto da:

Cap.1         Creazione e mantenimento della traccia dei processi A.30 – Il Titolare ha provveduto con documento esplicito, a descrivere il flusso lavorativo e i documenti prodotti nello stesso con specifica menzione delle gestioni internazionali dei flussi. Tale documento descrive le misure tecniche e di sicurezza messe in atto per una buona gestione:

A.25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

A.39 Compiti del responsabile della protezione dei dati

A.32 Sicurezza del trattamento (Misure di sicurezza e controllo accessi)

A.24 Responsabilità del titolare del trattamento (traccia delle misure)

A.15 Diritto di accesso dell’interessato

A.20 Diritto alla portabilità dei dati

A.35 Valutazione dell’impatto sulla protezione dei dati A.35 – Il titolare ha predisposto un documento programmatico per la definizione delle misure sistemistiche operate per la messa in sicurezza e controllo periodico delle criticità della struttura di rete informatica aziendale

Cap.2         Documento per categorie particolari di dati – Il titolare ha previsto un registro specifico per il trattamento dei dati sensibili riguardanti orientamento sessuale, religioso, inerente la sfera della salute e relativo a condanne penali e reati ove l’interessato abbia prestato il proprio consenso e rilasciato documenti inerenti all’azienda.

      Trattamento dati non occasionali – Il titolare detiene un archivio sotto chiave per i contratti bilaterali sottoscritti in cui è menzionato esplicitamente il consenso al trattamento dei dati e per gli stessi su sistemi digitali vengono utilizzate le misure aziendali di protezione per evitare l’utilizzo da parte di personale non autorizzato

      Diritto all’oblio A.17 – Il titolare ha predisposto un allegato specifico nei casi di contratto bilaterale e/o apposto nelle comunicazioni tra le parti, la possibilità di esercitare il diritto all’oblio per tutti i dati di terzi detenuti

Cap.3         Notifica violazione dei dati personali all’autorità di controllo A.33 – Il titolare ha predisposto un documento programmatico per la denuncia entro 72 ore all’autorità di controllo del territorio nazionale come previsto dall’A.55

      Comunicazione di una violazione dei dati personali all’interessato A.34 – Il titolare ha predisposto un documento programmatico per la denuncia all’interessato diretto, delle violazioni che lo riguardano ammesso che non sia possibile adottare contromisure di sicurezza immediate tese a rimuovere in toto o in parte gli effetti della violazione accertata

Cap.4         Contitolarietà del trattamento dei dati –A.26 – Il titolare può designare personale dipendente e non, come sub-responsabile del trattamento dati che avviene nell’esercizio di impresa. E’ stato predisposto un documento allegato al rapporto di lavoro o al contratto bilaterale a seconda dei casi che descrive le responsabilità oggettive nel trattamento dei dati inerenti l’azienda e menziona, secondo quanto disposto dall’A.83, le sanzioni amministrative pecuniarie relative all’abuso

      Informativa generale e piano di formazione – Il titolare ha predisposto un corso documentato anche in forma cartacea dell’informativa generale riguardante le nuove norme GDPR  e le misure di controllo aziendale al fine di garantire la tracciatura di eventuali incidenti informatici