Tema dell’articolo del giorno il General Data Protection Regulation, altrimenti noto come GDPR. Il GDPR è il Regolamento Europeo per il trattamento dei dati personali: vediamo insieme cosa contiene e quali sono le sue implicazioni per le imprese.
Il Regolamento Europeo 2016/679, meglio conosciuto come GDPR è un insieme di norme in materia di trattamento dei dati personali attivo dal 25 Maggio 2018. Ad oggi però molte aziende, private e pubbliche, non sono ancora pienamente coscienti delle sue implicazioni, soprattutto per quel che riguarda i fini pratici della sua applicazione, non solo a livello giuridico ma soprattutto in un’ottica pratica ed organizzativa.
Cercheremo quindi di fare maggiore chiarezza, ponendoci come obiettivo quello di fornire una guida pratica, semplice e comprensibile anche per i non addetti ai lavori.
Il Regolamento UE 2016/679 per la Protezione dei Dati, altrimenti noto come General Data Protection Regulation o GDPR è un testo normativo, promulgato dalla Commissione Europea, il cui obiettivo è regolare e tutelare il trattamento dei dati personali degli utenti.
Il GDPR è un regolamento europeo che, a differenza di una Direttiva, deve essere applicato esattamente così com’è da tutti i paesi membri aderenti alla UE. L’obiettivo del Regolamento è quello di rafforzare i diritti delle persone fisiche residenti nella UE in merito al trattamento dei dati personali.
E’ importante sottolineare che la tutela dei dati personali è rivolta alle persone fisiche, in quanto il Gdpr non si applica a dati relativi a persone giuridiche (come aziende o enti pubblici), anche se saranno proprio queste ultime i soggetti preposti a proteggere i dati e a dover quindi applicare il GDPR nelle proprie organizzazioni.
I vantaggi del Regolamento UE 2016/679:
La Legge italiana sulla Privacy, risalente al 2003, non è stata abrogata ma adeguata ai dettami del GDPR tramite il Decreto Legislativo 101/2018. Ne consegue quindi che le imprese, per ottemperare agli obblighi, devono tenere conto di entrambe le normative.
Le aziende che avevano già adottato a suo tempo le misure previste dal Dlgs 196 come, ad esempio il Documento Programmatico della Sicurezza (DPS, poi abolito dal 2013), sono state avvantaggiate, in quanto già strutturate per recepire questo genere di obblighi.
La vera rivoluzione introdotta dal GDPR è il superamento del concetto di “misure minime” su cui si basava il DLgs 196/2003, che viene sostituito con il concetto di “misure adeguate”, introducendo il principio di responsabilità (Accountability).
Spetta ora al Titolare del Trattamento stabilire cosa serve fare e come per essere conforme al Regolamento e deve inoltre essere in grado dimostrarlo. Tutto ciò richiede attività strutturate che andranno ad agire su più aree di intervento, coinvolgendo processi gestionali ed organizzativi, risorse umane e tecnologiche, in particolare le aree ICT, networking e web.
Un’altra importante novità è l’obbligo di notifica in caso di violazione dei dati (Data Breach).
In caso di attacco hacker o di qualsiasi altro evento che provochi una perdita della riservatezza, dell’integrità o della disponibilità di dati personali, è obbligatorio denunciare l’accaduto all’ Autorità di Controllo (il Garante per la Privacy) e, nei casi più gravi anche ai diretti interessati, entro un limite massimo di 72 ore dalla scoperta della violazione.
Denunciare però non basta: se si vogliono limitare le sanzioni, è necessario infatti dimostrare che si è fatto tutto il possibile per limitare al minimo il danno derivante dalla violazione.
Il GDPR porta con sé un profondo cambiamento del regime sanzionatorio, esponenzialmente inasprito i cui massimali sono stati incrementati:
- fino a 20 Milioni di €;
- fino al 4% del fatturato mondiale annuo.
A queste sanzioni amministrative si vanno poi ad aggiungere le eventuali implicazioni penali previste dalla legislazione del paese membro. In Italia le sanzioni sono state inasprite, raggiungendo fino ai 7 anni di reclusione nei casi più gravi, oltre alla possibilità di richiedere risarcimenti da parte degli interessati stessi.
Il GDPR prevede inoltre l’inserimento di un nuovo ruolo nell’organigramma aziendale: il Responsabile della Protezione Dati o DPO (Data Protection Officer). Il DPO è una nuova figura specialistica, che deve disporre di un’ampia preparazione trasversale, sia giuridica che tecnica.
Il Data Protection Officer viene nominato dal Titolare del Trattamento e il suo compito è quello di supportare e supervisionare l’applicazione delle procedure da parte del Titolare, nonché di interfacciarsi direttamente con l’Autorità di Controllo.
La designazione di un DPO è obbligatoria per tutti gli enti pubblici e per le aziende private, nei casi in cui venga effettuato un trattamento dei dati personali su larga scala oppure nei riguardi di dati sensibili e giudiziari. Anche se la nomina del DPO è in molti casi facoltativa, il Garante ne consiglia comunque l’adozione per agevolare l'introduzione e la corretta applicazione del Regolamento./p
Come abbiamo detto, il GDPR si limita a fornire delle linee guida generiche: spetta infatti al Titolare del Trattamento di definire il percorso ideale di conformità in base alle caratteristiche dell’organizzazione, tenendo comunque sempre presente i tre prerequisiti basilari:
Per assicurare la piena aderenza agli adempimenti normativi in materia di trattamento dei dati personali, è necessario coinvolgere tutte le funzioni aziendali interessate.
In questa fase è importante coinvolgere, oltre alla dirigenza, anche gli stakeholders e responsabili dei vari processi che includono, direttamente o indirettamente, trattamenti di dati personali, per porre loro le seguenti domande chiave:
In questa fase è importante rilevare e documentare quali dati personali sono a disposizione dell’azienda, da dove provengono, da chi, dove e come vengono gestiti questi dati.
L’analisi dei rischi (Risk Assessment) è un fase molto delicata del processo di compliance, in quanto necessita sia di competenze giuridiche che tecniche, in particolar modo di competenze informatiche.
Una volta che si sono mappati i dati, è necessario procedere con una valutazione del rischio, per determinare quale impatto privacy (PIA - Privacy Impact Assessment) potrebbe avere quel determinato trattamento dati per le persone fisiche.
Un valido aiuto per effettuare una corretta risk assessment sono sicuramente le Linee Guida ENISA ed EDPB, enti Europei preposti a fornire supporto e documentazione in merito alla protezione dati.
Una volta definiti i rischi bisogna individuare le lacune e cosa manca (Gap Analysis) sia a livello organizzativo che tecnico per ridurre al minimo i rischi causati da una violazione dei dati. Il consolidamento di questi sforzi avviene con la realizzazione di un Remediation Plan, un documento dove vengono indicate le misure necessarie e i tempi di attuazione per colmare i gap.
Non esiste una checklist valida per tutte le aziende, ciascuna deve effettuare una propria analisi dei rischi e mettere in campo una serie di attività atte a ridurre al minimo il rischio di una violazione.
Una volta stabiliti obiettivi e priorità, definito lo scenario e deciso come agire in base all’analisi dei rischi, ai dati da trattare ed al rischio effettivo, è necessario capire che ognuna di queste azioni che dovremo eseguire confluirà in un progetto specifico, ognuno con un suo responsabile, risorse assegnate, competenze e scadenze.
Diventa quindi indispensabile redigere un Action plan con le azioni da eseguire, chi le dovrà eseguire in base a relativi ruoli e mansioni, in che modo e in che tempi, la documentazione da produrre, le comunicazioni interne ed esterne, gli interventi infrastrutturali, la formazione del personale e dei responsabili.
Compiute le dovute analisi, descritte e redatte in un piano azionabile, adesso è il momento di mettere in pratica quanto stabilito. A questo punto è molto importante che ruoli e responsabilità siano chiari e definiti, in modo da evitare incomprensioni.
Da questo momento, il ruolo di supervisione e coordinamento del Responsabile della Protezione Dati o DPO (Data Protection Officer) diventa centrale, in quanto incaricato di monitorare, attraverso una serie di procedure di Audit, l'assenza di violazioni nella gestione dei dati.
La maggior parte delle aziende guarda oggi all’introduzione e applicazione del GDPR come a un adeguamento burocratico e poco più, a cui si è obbligati ad adempiere per non incorrere in sanzioni.
In realtà applicare i principi del Gdpr in azienda può generare diversi vantaggi, per primo una maggior sicurezza informatica in azienda. Migliorare i propri asset informatici applicando logiche di Business Continuity e Disaster Recovery, formare i dipendenti introducendo una cultura orientata alla Cybersicurezza può infatti ridurre il rischio di essere vittime di attacchi informatici o di ransomware.
Basti pensare ai costi per un’azienda, in termini di mancati profitti e perdita d’immagine, in caso di cancellazione di dati o di indisponibilità dei propri server. In definitiva, vedere il Gdpr come un’opportunità e non come una mero adempimento formativo può produrre una serie di effetti positivi per l’impresa, sull’infrastruttura e sulle sue risorse./p
