GDPR

General Data Protection Regulation

A Maggio 2018 entrerà in vigore in tutta l’Unione Europea un nuovo regolamento in materia di protezione dei dati. Il tuo Business è in regola con il GDPR?

Se sei  interessato, dovresti iniziare a pensare ora a come adeguarti. Il Regolamento Generale sulla Protezione dei Dati (GDPR) interesserà tutte le aziende che in Europa gestiscono in vari modi i dati personali. Inoltre interesserà qualsiasi azienda che opera in EU. Le regole sono complesse e le sanzioni per chi non le rispetterà sono onerose (fino a 20 milioni di euro).

Che cosa è già stato modificato?

Il Regolamento Generale sulla Protezione dei Dati (GDPR) sostituisce la direttiva EU del 1995 sulla protezione dei dati 95/46/EC. Il GDPR è stato realizzato per potenziare e unire i diritti sulla privacy online e la protezione dei dati per gli individui dell’Unione Europea (EU) e al tempo stesso per velocizzare
gli obblighi in materia di protezione dei dati delle imprese al servizio dei cittadini EU attraverso la diffusione di un unico Regolamento al posto delle 28 leggi nazionali.
L’8 aprile del 2016 il Consiglio ha adottato il GDPR e la Direttiva a questo associata e il successivo 14 aprile sono stati adottati anche dal Parlamento Europeo.
Il 4 maggio 2016, i testi ufficiali del Regolamento e della Direttiva sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea. Il Regolamento verrà applicato a partire dal 25 maggio 2018.
I 28 Stati Membri dell’Unione Europea hanno recepito e attuato le normative del 1995 con notevoli differenze, rendendo difficile e costoso per le imprese operare all’interno dei confini della Comunità Europea. Si stima che l’eliminazione di questa frammentazione porterà a un risparmio per le aziende di circa 2.3 miliardi di euro l’anno in tutta l’Unione Europea.

QUALI CAMBIAMENTI CI SARANNO?

I principali cambiamenti previsti dalla riforma includono1:

  • Il diritto di conoscere quando i dati di un individuo sono stati violati: le aziende e le organizzazioni devono segnalare all’autorità di supervisione nazionale per le violazioni dei dati quali sono gli individui in pericolo e comunicare alla persona interessata tutte le violazioni ad alto rischio nel più breve tempo possibile, così che gli utenti possano adottare le adeguate contromisure.
  • Migliorare l’applicazione delle regole: le autorità per la protezione dei dati dovranno essere in grado di multare le imprese non conformi alle normative EU fino al 4% del loro fatturato annuo totale. Le sanzioni amministrative non sono obbligatorie e nel caso si decida di imporle dovranno essere decise
    caso per caso e dovranno essere efficaci, proporzionate e dissuasive.
  • Un continente, una legge: un’unica legge pan- europea per la protezione dei dati, che sostituisce il mosaico formato da tutte le leggi nazionali. Le aziende dovranno confrontarsi con un’unica legge, non 28. I benefici sono stimati in 2.3 miliardi di euro l’anno.
  • Le organizzazioni devono segnalare all’autorità nazionale le gravi violazioni di dati il prima possibile (meglio se entro 24 ore).
  • Il Regolamento si applica integralmente anche alle aziende situate fuori dall’Unione Europea che operano nel mercato comunitario, offrono servizi e prodotti ai cittadini europei (inclusi i beni e i servizi gratuiti), e infine controllano il comportamento degli individui dell’Unione Europea.
  • Protezione dei dati in fase di progettazione e in modalità predefinita: ‘la protezione dei dati by design’ e ‘la protezione dei dati by default’ ora sono elementi essenziali nelle regole di protezione dei dati dell’Unione Europea. La garanzia sulla protezione dei dati sarà prevista nei prodotti e nei servizi già
    dalle prime fasi del loro sviluppo e le impostazioni predefinite per la tutela della privacy saranno la norma.

Per rafforzare la protezione dei dati l’Unione Europea sta rendendo obbligatorio per le aziende proteggere adeguatamente i dati riservati, definiti come:
“qualsiasi informazione che identifichi o che permetta di identificare una persona fisica a cui ci si riferirà in seguito come “soggetto dei dati”; una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante un numero identificativo o da uno o più fattori specifici relativi alla sua identità fisica, psicologica, mentale, economica, culturale o sociale;”

Questa ampia definizione dei dati personali si estende facilmente ai documenti più semplici che riguardano, persino indirettamente, i clienti, gli utenti, il personale, gli studenti e ogni altro documento relativo all’individuo.

COSA DICE IL REGOLAMENTO SULLA PROTEZIONE DEI DATI?

Articolo 32, sicurezza nel trattamento dei dati 3:

  • Considerando lo stato dell’arte, i costi di implementazione e la loro natura, la portata, il contesto e le finalità del trattamento dei dati come anche le variabili legate ai rischi per i diritti e la libertà delle persone fisiche, il sistema di controllo e trattamento dei dati verrà implementato con misure tecniche
    e organizzative per assicurare un livello di sicurezza adeguato ai rischi, che include a seconda dei casi:

    • l’utilizzo di pseudonimi e la crittografia dei dati personali;
    • la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
    • la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici;
    • un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.

La crittografia è il modo più semplice e sicuro per proteggere i dati come richiesto dall’Articolo 32 del GDPR. La tecnologia è uno dei mezzi stabiliti per proteggere le informazioni che possono essere oggetto di furti o smarrimenti. Il GDPR tratta anche l’esigenza di avere degli efficaci piani per il ripristino dei
dati, delle password e dei sistemi di gestione delle chiavi.

L’articolo 30 del Regolamento³ richiede inoltre che i documenti siano conservati -inclusa una descrizione generale delle misure di sicurezza tecniche e organizzative adottate, di cui all’Articolo 32 – questo significa che le imprese avranno bisogno della documentazione e delle prove che i loro sistemi sono sicuri e che i dati criptati sono recuperabili dopo un incidente tecnico.

QUALI SONO LE REGOLE PER LA SEGNALAZIONE DELLA VIOLAZIONE DEI DATI?

L’articolo 33 prevede la notifica di una violazione dei dati personali all’autorità di vigilanza e stabilisce che l’autorità venga avvisata, ove fattibile, entro e non oltre 72 ore dal momento in cui l’organizzazione in questione viene a conoscenza della violazione stessa. Qualsiasi notifica oltre le 72 ore deve essere accompagnata da una motivazione che ne giustifichi il ritardo.

L’articolo 34 si riferisce alla comunicazione della violazione dei dati personali al soggetto interessato e afferma che:

  • Nel caso in cui la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone, il controllore dovrà comunicare tale violazione al proprietario dei dati senza indebito ritardo.

Tuttavia, prosegue affermando che:

  • La comunicazione al proprietario dei dati, come indicato nel paragrafo 1,non sarà richiesta se viene rispettata almeno una delle seguenti condizioni:
    • il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative e queste misure sono state applicate ai dati personali oggetto della violazione. Si fa particolare riferimento a quelle tecnologie che rendono i dati personali illeggibili per qualsiasi persona non autorizzata ad accedervi, come ad esempio la crittografia;
    • il controllore ha adottato successive misure tali da assicurare che l’elevato rischio per i diritti e le libertà delle persone, come indicato nel paragrafo 1, non si possa concretizzare;
    • comporta uno sforzo sproporzionato. In questo caso ci sarà una comunicazione pubblica o di natura simile in grado di informare le persone interessate in maniera altrettanto efficace.

Alcune ricerche hanno dimostrato che, nelle precedenti violazioni dei dati, le conseguenze più gravi sono ai danni dell’organizzazione coinvolta. Anche in questo caso, è chiaro che la crittografia viene considerata una garanzia sufficiente a evitare questa situazione e le conseguenze per la reputazione dell’azienda.

IL REGOLAMENTO COME SCORAGGIA I TRASGRESSORI?

Articolo 83, Condizioni generali per l’imposizione di sanzioni amministrativepunto 44:

  • Le infrazioni alle seguenti disposizioni, ai sensi del paragrafo 2, sono soggette a sanzioni amministrative fino a 10 000 000 di euro, o in caso si tratti di un’azienda, fino al 2% del suo fatturato totale a livello mondiale riferito all’anno precedente, a seconda di quale sia l’importo più alto:
    • gli obblighi del titolare del trattamento ai sensi degli Articoli 8, 11, dal 25 al 39 e 42 e 43. compresi gli articoli riguardanti le regole sulla comunicazione delle violazioni dei dati personali – l’ Articolo 33 e Articolo 34, e il punto cinque dell’Articolo 83 inoltre affermano che:
  • Le infrazioni alle seguenti disposizioni, in accordo con il paragrafo 2, saranno oggetto di sanzioni amministrative fino a 20 000 000 euro, o nel caso si tratti di un’azienda, fino al 4 % del suo fatturato totale a livello mondiale riferito all’anno precedente, a seconda di quale sia l’importo più alto:
    • i principi base del trattamento dei dati, incluse le condizioni per il consenso, ai sensi degli Articoli 5, 6, 7 e 9;

Dove all’Articolo 5,Principi relativi al trattamento dei dati personali,si afferma che:

  • I dati personali dovranno essere:
    • trattati in modo da garantirne un’adeguata sicurezza – inclusa la protezione dal trattamento non autorizzato o illegale nonché dalla perdita accidentale, distruzione o danno – utilizzando appropriate misure tecniche o organizzative (integrità e riservatezza).

Questo chiaro intento di penalizzare e scoraggiare i trasgressori entrerà in vigore in meno di due anni, quindi è arrivato il momento di agire.

Alcuni paesi sono già al lavoro.Il Senato Olandese ha approvato una legge a Maggio 2015 che modifica l’attuale legge sulla protezione dei dati per anticipare l’adozione del GDPR, facendo passare l’Olanda da paese con un sistema di attuazione tra i più deboli d’Europa a uno di quelli che tra i più forti. Il Regolamento entrerà in vigore in tutti i 28 stati membri da Maggio 2018.

QUALI MISURE SI DOVRANNO ADOTTARE ORA?

Il Regolamento obbliga le aziende di qualsiasi dimensione ad adottare un nuovo insieme di processi e politiche volte a dare alle persone un maggiore controllo sui propri dati personali. Ciò comporterà la scrittura di nuovi processi e manuali, la riqualificazione del personale e l’aggiornamento di sistemi per
attuare queste nuove procedure. Altri passaggi prevedono misure pratiche, come l’utilizzo della crittografia nel caso in cui i dati siano esposti a rischio.

Un notebook o una chiavetta USB smarrita o sottratta non si trasformerà in una catastrofe se è stata criptata con un prodotto conforme. Già da molti anni il software DESlock Encryption di Eset sta aiutando le imprese di tutte le dimensioni a crittografare i notebook, i dispositivi rimovibili, le email e i file.

I prodotti che offriamo coprono XP fino a Windows 10 e iOS dalla versione 7 in poi.

Il software proposto è progettato su un sottosistema crittografico convalidato FIPS 140-2 livello 1 e il sistema di gestione delle chiavi e il server unico di amministrazione possiedono un brevetto valido in tutto il mondo.

Uno dei punti fondamentali del GDPR, contenuto nell’articolo 5, è assicurare un’appropriata sicurezza dei dati personali. E, come riferito nell’Articolo 32 sulla sicurezza del trattamento dei dati, la crittografia è un’appropriata misura tecnica per raggiungerla. Dove la crittografia viene utilizzata, deve essere
possibile ripristinarla rapidamente dopo un incidente e i documenti doveno essere conservati per dimostrare che i sistemi sono sicuri e ripristinabili.

La soluzione di crittografia DESlock Encryption di ESET è stata progettata per far fronte a queste esigenze in modo semplice ed efficace.

UNA NUOVA FIGURA PROFESSIONALE: IL RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (DATA PROTECION OFFICER).

Il Data Protection Officer o, per meglio dire, il Responsabile della Protezione dei Dati, è una nuova figura professionale che va ad inserirsi nel panorama, già nutrito, dei consulenti aziendali sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende
Il DPO (Data Protection Officer) sarà quindi un manager ma anche obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.
Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy.
Il linea generale la qualifica di DPO – Data Protection Officer – di fatto muta l’attività del consulente privacy in azienda.

Il DPO è obbligatorio in qualsiasi caso in cui il trattamento sia effettuato da:

  • una pubblica amministrazione o da un suo organismo,
  • società con più di 250 dipendenti,
  • aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza. L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.
Un DPO dovrà detenere qualità di natura professionale, esperienza ed abilità nell’area “legge sulla privacy”, nonché rispettare i compiti (o parte di essi come da accordi presi con l’amministrazione del titolare) previsti per detta figura. Il DPO non dovrà avere conflitti di interesse in azienda e dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà anche essere un dipendente interno all’azienda oppure esterno in forza di un contratto di servizi.

I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:
1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

I compiti del DPO sono:

  • Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
  • Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati;
  • assegnazione delle responsabilità;
  • formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
  • Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l’accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un’ottica proattiva, per esempio il considerando n. 74 asserisce che “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”, inoltre, è previsto che “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità” (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all’art. 34 lett. g e punto 19 dell’Allegato B del Codice della Privacy).
  • Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
  • Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
  • Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
  • Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.

I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati – regolamento europeo privacy ue 2016/679 ( ex dps) sono :

  • Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
  • Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi in Cloud )
  • Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile.
  • Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer ( DPO )

Nel nuovo Regolamento generale sulla protezione dei dati, si nota subito un cambio di definizioni, laddove la figura del Responsabile del trattamento come prevista dall’art. 29 del D.Lgs. n. 196/2003 avrà una nuova denominazione con nuovi compiti e funzioni (tra l’altro precisamente stabiliti nel testo europeo citato). Per essere più chiari possibile, la figura che, ad oggi, viene denominata come Titolare del trattamento, una volta entrato in vigore il citato Regolamento UE, assumerà il nome di Responsabile del trattamento. Si aggiunga che la figura dell’Incaricato del trattamento, così come prevista dall’art. 30 dell’attuale Codice privacy, scomparirà completamente
Altra novità sarà la possibilità (in questo caso concessa  al Data Subject o Soggetto Interessato) di esercitare i propri diritti nei confronti di ciascun Data Controller Congiunto del trattamento oppure al Joint Controller.
Un elemento cruciale differenzia un Data Protection Officer o DPO da un responsabile privacy ex art. 29, mentre il primo deve essere indipendente e autonomo, il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica invece del nuovo ruolo del DPO.