Se da un lato le grandi aziende si stanno strutturando internamente, rivedendo i loro processi aziendali per renderli conformi alla nuova normativa, dall’altro questo nuovo regolamento colpisce anche le piccole aziende e gli studi professionali i quali, dovranno affrontare il problema della stesura di procedure, regole o norme aziendali per essere in regola e conformi. Si dovrà inoltre produrre una sorta di check list in cui siano ben chiare le procedure adottate per limitare quanto più possibili i rischi legati alla perdita o al furto dei dati sensibili in nostro possesso.
GDPR: che cosa è?
GDPR, General Data Protection Regulation, regolamento 2016/679/EU
E’ il nuovo regolamento Europeo che si applica al trattamento dei dati personali come nome, cognome, codice fiscale ecc.
E’ una normativa che tocca organizzazioni di ogni settore e dimensione, chiamate a mettersi in conformità in tempi ormai brevi, non più procrastinabili.
General Data Protection Regulation, ovvero protezione dei dati, diritto fondamentale della persona ad essere lasciata indisturbata. Riguarda la tutela della persona fisica con riferimento al trattamento dei dati personali (come da direttiva 1995/46, legge 675/1996 e D. Lgs. 196/2003).
Con trattamento dei dati personali si intende qualsiasi operazione che riguarda i dati come ad esempio la raccolta, l’organizzazione, la conservazione, la consultazione, la diffusione, l’utilizzo, ecc.
Cosa NON cambia rispetto alla normativa italiana già in uso?
Protezione dei dati delle sole persona fisiche
Definizione del trattamento
Obbligo di informativa
Obbligo di consenso
Adozione di misure tecniche ed organizzative adeguate al trattamento dei dati
Cosa INVECE cambia?
Diritto all’oblio, ovvero la non divulgazione (se non espressamente richiesta) e, se richiesto, la cancellazione dei propri dati personali
Responsabilizzazione di titolare e responsabile
Registro dei trattamenti
Obbligo di notifica e comunicazione in caso di Data Breach (violazione dei dati personali)
Misure tecniche adeguate quali ed idonee quali ad esempio la pseudoniminazione e la cifratura
Ruolo del DPO (Data Protection Officer) e sua nomina
Certificazioni
Entità delle sanzioni
Le sanzioni, cosa da non sottovalutare.
Fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell’anno precedente se superiore ad esempio qualora siano violati gli obblighi posti a carico del titolare e del responsabile del trattamento, dell’organismo di certificazione e dell’organismo di controllo
Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’anno precedente se superiore ad esempio qualora siano violati i principi dettati in materia di principi base del trattamento ed in particolare del consenso, i diritti degli interessati, le disposizioni in materia di trasferimenti di dati in paesi terzi, inosservanza di ordini o limitazioni di trattamento o in caso di negato accesso.
Insomma, qui non si scherza più!
Quali sono i criteri per l’applicazione delle sanzioni?
I criteri sono molteplici come la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; il carattere doloso o colposo della violazione; le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; le categorie di dati personali interessate dalla violazione; la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Responsabilizzare e Accountability
Il nuovo provvedimento vuole che le imprese si “responsabilizzino” e mettano in pratica l’”accountability” ovvero la capacità di un sistema di identificare un singolo utente e di determinarne le azioni all’interno di un sistema informatico.
Descrizione: l’accountability è un aspetto del controllo di accesso e si basa sulla concezione che gli individui siano responsabili delle loro azioni all’interno del sistema. Tale aspetto è supportato dall’audit delle tracce degli eventi registrati all’interno del sistema e nella rete. L’audit delle tracce può essere utilizzato per il rilevamento di intrusioni e per il rilevamento di intrusioni e per il rilevamento di eventi passati.
Descrizione: l’audit è una valutazione tecnica manuale e sistematica misurabile di un sistema o una applicazione, nell’ambito della sicurezza informatica. La valutazione manuale prevede domande allo staff, esecuzione delle analisi di vulnerabilità, revisione e controllo degli accessi al sistema operativo e analisi dell’accesso fisico del sistema.
Le valutazioni automatiche includono rapporti di audit generati dal sistema o uso di software per monitorare e riportare cambiamenti a file e impostazioni del sistema.
(fonte: wikipedia)
In particolar modo, l’Articolo 5 - Principi applicabili al trattamento di dati personali fa “richiesta” che, (paragrafo 1, lettera f) ”I dati personali sono: … trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. (paragrafo 2), il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo”.
Inoltre, l’ articolo 24 parla di “Responsabilità del titolare del trattamento, paragrafo 1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario".
ASSESSMENT: ovvero come cercare di prevenire i problemi legati alla sicurezza informatica e quindi dei dati?
Eseguendo una mappatura dei dati; fonte, tipologia, uso, allocazione, ecc.
Analisi dei documenti e delle procedure in essere ovvero informative, consensi, nomine ecc.
Analisi dei sistemi e delle misure tecniche e preventive in essere
Valutazione dei rischi ed individuazione delle contromisure
Valutazione d’impatto
E quali sono gli ambiti di intervento?
Registro dei trattamenti
Revisione documentale e delle procedure in essere
Aggiornamento ed implementazione delle misure tecniche IT e della sicurezza informatica
Aggiornamento ed implementazione delle misure organizzative a partire dalla formazione e dalle procedure
Data breach (violazione dei dati) con procedure di gestione, notifica e segnalazione
Nomina di un DPO (Data Protection Officer) ove necessario.
In sintesi?
L’articolo 32 sulla sicurezza del trattamento ci viene in aiuto.
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Ma tecnicamente, cosa si deve fare?
Pseudonimizzazione e cifratura dei dati
Assicurare su base permanente integrità, disponibilità, resilienza dei sistemi e del trattamento
Assicurare ripristino tempestivo disponibilità e accesso ai dati
Testare, verificare e valutare regolarmente l’efficacia delle misure
Ok, ma in ESTREMA sintesi?
Responsabilità e responsabilizzazione
Accountability (capacità di «comprovare» scelte)
Misure di sicurezza tecniche e organizzative («a scelta») adeguate
Verifica e valutazione regolare efficacia delle misure tecniche e organizzative
Il GDPR, non è tuo nemico
