Il GDPR è un regolamento europeo relativo alla protezione delle persone fisiche, dei loro dati personali e della libera circolazione di questi dati nella comunità europea.
Mira a proteggere la persona fisica.
Il GDPR coinvolge TUTTE le aziende che trattano dati personali e sensibili di cittadini europei, anche Voi.
Dal 25 maggio 2018 il Garante della Privacy può iniziare ad applicare le sanzioni che possono raggiungere i 20 milioni di Euro o al 4% del fatturato Worldwide; è esteso l’ambito territoriale e l’impatto è anche per aziende extra UE.
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire che i dati personali e sensibili siano trattati, per impostazione predefinita, solo per ogni specifica finalità del trattamento. Ogni azienda deve adottare le migliori tecnologie sul mercato per la difesa della propria rete ed è necessario sapere chi ha accesso ai dati dell’azienda, sia tenendo traccia di chi accede, sia per prevenire qualsiasi violazione che permetta l’accesso a tutto il sistema (Data Breach).
In caso di Data Breach è necessario comunicarlo entro 72 ore al Garante delle Privacy.
È necessario nominare un DPO (Data Protection Officer) che supporterà il titolare ed il responsabile del trattamento dei dati nel garantire che l’organizzazione sia conforme al GDPR.
Per adempiere correttamente alla normativa europea consigliamo di contattare uno studio legale specializzato nel trattare l’argomento della sicurezza dei dati e che conosca bene il GDPR.
Siamo a disposizione per mettervi in contatto con uno studio legale di Padova molto preparato in materia.
Dal punto di vista informatico non è stato inserito nel GDPR nessun allegato tecnico quindi al momento per il garante della privacy vale la frase: adottare le migliori tecnologie sul mercato per la difesa della propria rete.
I consigli che diamo ai nostri clienti riguardano sicuramente la sicurezza informatica e l’adozione delle procedure che permettano di conoscere chi ha accesso ai dati dell’azienda, sia tenendo traccia di chi accede, sia per prevenire qualsiasi violazione che permetta l’accesso a tutto il sistema.
Per fare degli esempi:
– Active Directory
per la gestione degli utenti nella rete aziendale. Conoscere i Device da cui provengono le richieste di accesso ai dati e regolamentarne l’accesso. Attribuire correttamente i ruoli ed il modello organizzativo.
– Firewall UTM
per garantire una sicurezza stratificata e rispondere ad eventuali violazioni. E’ indispensabile una regolare scansione e update dei software del sistema.
– Crittografia
per non rendere fruibili a soggetti non autorizzati e seguire delle procedure standard di protezione in grado di assicurare riservatezza, integrità e affidabilità dei sistemi
– Sistemi operativi
i prodotti installati devono essere coperti dal supporto del produttore e dovranno essere sempre aggiornati. Si rende noto che i sistemi operativi Windows Server 2008 e Windows 7 Professional usciranno dal supporto tecnico Microsoft il 14/01/2020.
LA ROADMAP PER ADEGUARSI CORRETTAMENTE AL GDPR
Una volta identificato lo studio legale verrà fatta una sessione di pre-audit con i Vostri responsabili della durata di circa un’ora.
Verranno fatte delle domande per capire la Vostra attività, come vengono trattatati i dati personali e sensibili e quali sono le persone coinvolte nella gestione dei dati personali e sensibili. Verrà fatto un preventivo di spesa. Una volta confermata l’offerta verranno fissate le date per le interviste mirate alle persone precedentemente identificate, responsabili delle funzioni/aree aziendali che, in ragione dei loro compiti, sono preposti al trattamento dei dati personali. Ci sarà una fase di adeguamento legale e tecnico che sulla base dei risultati emersi nelle precedenti interviste potrà dare avvio alle attività di messa in conformità (registro dei trattamenti, nomine dei responsabili dei trattamenti, aggiornamento della modulistica funzionale, adeguamento informatico, etc.).
DEFINIZIONI, PER CHIARIRE ALCUNI CONCETTI
Per trattamento dei dati personali secondo la legge italiana, indica qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Rispetto alla definizione accolta dalla previgente L. 675/96, è stato precisato espressamente che nella nozione di trattamento devono essere fatte rientrare anche le operazioni relative a dati non registrati in una banca dati. Dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Dati sensibili quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.
DATA PROTECTION OFFICER
Il Responsabile della protezione dei dati, dovrà, così come cita il regolamento “possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.” Questa figura sarà presente in occasione di tutti i controlli da parte delle autorità competenti.
Il Data Breach è la violazione di dati personali in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato.
Solitamente il data breach si realizza con una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezze in maniera involontaria o volontaria. Tale divulgazione può avvenire in seguito a:
perdita accidentale: causato da smarrimento di una chiavetta USB contenente dati riservati
furto: causato dal furto di un notebook contenente dati confidenziali
infedeltà aziendale: causato da una persona interna che avendo autorizzazione ad accedere ai dati, ne produce una copia distribuita in ambiente pubblico
accesso abusivo: causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.
TERMINOLOGIA GENERALE DEL GDPR
Per comprendere in che modo il GDPR si lega all’archiviazione e alla protezione dei dati, è utile assimilare la seguente terminologia di base:
Soggetto interessato
Un cittadino della UE identificabile tramite i propri dati personali. L’interessato può essere un consumatore che effettua un acquisto online, il paziente di un sistema sanitario, un cittadino che accede ai sevizi della pubblica amministrazione online, un utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi.
Titolare del trattamento
Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Alcune esempi sono le aziende che riceve informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti. (Vedere di seguito per assistenza nel determinare se la propria attività si possa configurare come responsabile del trattamento o come titolare del trattamento.)
Responsabile del trattamento
Un’attività commerciale come un fornitore di servizi cloud che si configura come contraente per un titolare del trattamento, ad esempio un’altra azienda che offre servizi ai cittadini UE e che acquisisce dati sensibili sulle persone. Gli esempi includono aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.
Dati personali
“Qualsiasi informazione riguardante una persona fisica identificata o identificabile.” La definizione fornita dalla UE è più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.
Diritto alla cancellazione
Il diritto di ogni cittadino UE “di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali”. Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Su questo punto in particolare, permane una certa ambiguità. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup (cosa che può essere problematica in un supporto di backup seriale come il nastro)? Cosa succede quando una richiesta di cancellazione dei dati va in conflitto con le politiche di conservazione dei dati di un’azienda a fini di archiviazione o legali?
Violazione dei dati personali
“La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’”autorità di controllo” entro 72 ore dal momento in cui ne sono venute a conoscenza.
CONCLUSIONI
La scadenza del 25 maggio 2018 per la conformità GDPR è imminente e le sanzioni pecuniarie per la mancata conformità sono consistenti; tuttavia ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE può adottare oggi le misure che garantiscono di poter essere preparati. Inizia riconoscendo in che modo il GDPR rafforza e amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti, come la Direttiva UE 1995 sulla protezione dei dati. Acquisisci familiarità con la nuova terminologia creata dal GDPR per comprendere la tua collocazione in questo quadro. E comincia attaccando la sfida della conformità con metodi pertinenti alla protezione della privacy dei dati personali e ampiamente nel tuo ambito di controllo, agendo per migliorare la tua infrastruttura e i servizi di protezione dati e archiviazione e accoglierne i nuovi requisiti.
