gdpr-regolamento-europeo-privacy-cosa-devi-sapere

Il GDPR scatterà il 25 Maggio 2018, termine entro il quale tutte le aziende europee devono adottare le misure adeguate in base al nuovo Regolamento Europeo per la Protezione Dati EU-GDPR 2016/679.

GDPR …questo sconosciuto!

Benché se ne parli già da tempo, nei vari convegni e sul web, molte aziende ancora non hanno ben chiaro di che cosa si tratta e soprattutto, cosa comporta in termini di procedure da adottare, come metterle in pratica, con quali risorse e in che ordine ma anche, come manutenerle.

In questo articolo vedremo di fare maggiore chiarezza riassumendo quello che serve sapere per orientarsi.

CHE COS’È innanzitutto il GDPR: il Regolamento UE 2016/679

Il nuovo Regolamento (UE) 2016/679 per la Protezione dei Dati o GDPR (General Data Protection Regulation) determina le “linee guida” da adottare in materia di Protezione delle Persone Fisiche con riguardo al Trattamento dei Dati nonché alla libera circolazione di tali dati.

Scarica tutto il Regolamento GDPR in Pdf (88pag)  RGPD (Regolamento Generale Protezione Dati) UE 2016/679

E che fine farà l’attuale “Legge Privacy” Dlgs 196/2003?

Anche l’attuale Legge Italiana Dlgs 196 del 2003, meglio conosciuta come “Legge Privacy”, non andrà definitivamente in pensione ma, è già stata oggetto di una prima revisione (Legge 163/2017 e legge 167/2017 in vigore dal 21 Dicembre 2017) per “raccordarsi” al nuovo Regolamento Europeo che, trattandosi appunto di “Regolamento” e non di “Direttiva”, non potrà essere comunque modificato dagli stati membri.

In ogni caso, le aziende che avevano già adottato a suo tempo le misure previste nella “Legge Privacy” come, ad esempio, il DPS o Documento Programmatico della Sicurezza (poi abolito dal 2013), saranno sicuramente avvantaggiate perché non dovranno partire da zero, se non altro come “cultura” da introdurre in azienda.

I VANTAGGI del Nuovo Regolamento UE 2016/679 o GDPR sono:

Con questo Regolamento, il Consiglio Europeo, oltre ad armonizzare e ad aggiornare le normative privacy in tutta la UE, si pone come secondo obiettivo, quello di ridefinire l’approccio delle aziende in materia di protezione dati, in virtù dei continui attacchi informatici di cui sono oggetto da alcuni anni le imprese di ogni dimensione e settore, fornendo una guida utile anche in questa direzione.

I principali vantaggi del GDPR sono:

  • norme uniche per tutta l’UE
  • condizione di parità per tutte le imprese UE
  • norme adatte alla web-economy
  • norme “scalabili”

Le due DATE da ricordare del GDPR

gdpr-data-di-applicazione-entrata-in-vigore

Le principali DIFFERENZE del GDPR rispetto all’attuale “Legge Privacy” D.lgs 196/2003

La novità principale del nuovo regolamento è che sparisce il concetto di “MISURE MINIME” , alla base dell’attuale normativa D.Lgs 196,  per lasciare il posto a quello di  “MISURE ADEGUATE”.

Ma, la vera rivoluzione, è l’introduzione del nuovo principio di “RESPONSABILITÀ (Accountability).

Tale principio di fatto attribuisce più discrezionalità ma, al tempo stesso, maggiore responsabilità al “Titolare del Trattamento” su tutto quello che concerne la protezione dati con un inasprimento consistente delle sanzioni previste in caso di inadempienza.

Se è vero che viene lasciato più spazio alla discrezionalità è anche vero che, il Titolare ed il Responsabile del Trattamento hanno il preciso dovere di dimostrare le ragioni che hanno determinato le scelte fatte.

gdpr-i-3-concetti-chiave

In definitiva tutto ciò necessita di azioni molto ampie e strutturate, che andranno ad agire su più aree di intervento indicate nella grafica sottostante:

Quali sono le AREE su cui INTERVENIRE per il GDPR

gdpr-aree-intervento-grafica

Quali sono i CONCETTI CHIAVE del GDPR da tenere a mente

Cominciamo a prendere confidenza con le denominazioni e i concetti che più incontreremo quando ci ritroveremo a parlare di GDPR.

I SOGGETTI del trattamento nel nuovo GDPR:

  • INTERESSATO al Trattamento: la persona fisica oggetto del trattamento dati
  • TITOLARE del Trattamento: la persona fisica o giuridica (azienda/ente) titolare del trattamento
  • RESPONSABILE del Trattamento: la persona fisicagiuridica  responsabile di un determinato trattamento. Può essere anche esterno mediante nomina (es. dati in Hosting, provider di posta, servizio paghe..) o interno (es. resp. reparto/processo interno o lo stesso Titolare del Trattamento)
  • DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) o Privacy Officer: è la nuova figura introdotta nel 2016 dal GDPR. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
  • Entrambi, Titolare e Responsabile, rispondono legalmente.
  • Possono essere nominati anche più responsabili del trattamento.

Il Principio di RESPONSABILITÀ nel GDPR

Come già detto in apertura, il GDPR pone l’accento sui concetti di “Responsabilizzazione” (Accountability) e di “Misure Adeguate” in quanto, il Titolare del Trattamento deve garantire ed essere sempre in grado di dimostrare di rispettare i princìpi del Regolamento nonché, di aver messo in atto le misure ritenute idonee dal Titolare stesso

Anche se nel GDPR sparisce il concetto di “Misure Minime”, presente nel D.lgs 196/2003, si può comunque prevedere un insieme minimo di azioni per soddisfare le esigenze di Accountability il cui nucleo potrebbe essere così composto:

  • Assessment: valutazione iniziale legale e informatica
  • Registro dei Trattamenti: non obbligatorio fino a 250 dipendenti ma consigliato
  • Funzionigramma privacy: definizione Ruoli e Compiti
  • Risk Assessment: valutazione del rischio sul dati da trattare
  • Privacy Impact Assessment: distinte valutazioni sull’impatto privacy relative a particolari processi, servizi, prodotti, sistemi che il Titolare può adottare, installare o fornire (ad es: installazione di impianti di videosorveglianza o di gps; organizzazione di campagne marketing; ecc.)
  • Gestione: mediante audit periodici di controllo

Il GDPR introduce un NUOVO RUOLO: il DPO

gdpr-dpo-responsabile-privacy

Il GDPR prevede l’inserimento di un nuovo ruolo nell’organigramma: il Responsabile della Protezione Dati o DPO (Data Protection Officer) detto anche Responsabile della Sicurezza (Privacy Officer).

CHI è il DPO

Il DPO è una nuova figura specialistica, con cognizioni tecniche, informatiche e giuridiche.

Viene nominato dal Titolare del Trattamento e, il suo compito, è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di Controllo e i diretti interessati.

I COMPITI del DPO

  • Informare e fornire consulenza al titolare del trattamento nonché ai dipendenti;
  • Sorvegliare l’osservanza del Regolamento GDPR
  • Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
  • Cooperare con l‘Autorità di controllo (il Garante Privacy);
  • Fungere da punto di contatto per l‘Autorità di controllo per questioni connesse al trattamento;

QUANDO devo nominare un DPO

La designazione del DPO è obbligatoria per gli enti pubblici e per le aziende private per le seguenti tipologie di trattamenti:

  • effettuati su larga scala (es. marketing) e sistematici
  • comandati da una Pubblica Autorità
  • che riguardano particolari categorie di dati sensibili

Anche se la nomina del DPO è in molti casi facoltativa, se ne consiglia comunque l’introduzione, per agevolare l’inserimento, il monitoraggio e la corretta applicazione delle procedure nonché, per gestire ed aggiornare tutta la documentazione necessaria.

Inoltre il DPO assume un ruolo fondamentale, in caso di violazione dei dati (Data Breach), come interfaccia con le Autorità di Controllo.

INQUADRAMENTO del DPO

 Il Responsabile della Protezione dei Dati può essere:

  • un dipendente del titolare del trattamento o del responsabile del trattamento
  • oppure assolvere i suoi compiti in base a un contratto di servizi

DPO e altri Ruoli Manageriali: possibile “Conflitto d’interesse”?

La materia, che sicuramente richiede anche competenze tecnico/sistemistiche, sta generando il dubbio in molte aziende sul fatto di delegare o meno il ruolo del DPO ad altri Ruoli Manageriali interni come ad es. il Responsabile IT o il Direttore Marketing, o a partner informatici esterni qualora non esistano questi ruoli all’interno.

È chiaro che il Responsabile CIO/Marketing o il Partner IT avrebbero un compito determinante nel supportare la privacy, vista la profonda conoscenza dell’infrastruttura dell’azienda, motivo per cui sono da considerare  figure chiave all’interno di un progetto Privacy.

È opinione condivisa però che, nel caso del doppio ruolo, il Resp.IT/DPO si troverebbe a svolgere contemporaneamente il ruolo di controllore e controllato, generando quindi un possibile conflitto d’interesse.

A tal proposito il “Gruppo di Lavoro Art.29″ del Garante Privacy precisa nelle linee guida sul DPO che:

“…A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento…”

AREE e RUOLI di un PIANO PRIVACY

gdpr-le-figure-coinvolte-in-azienda

Un Progetto Privacy, per essere seriosostenibile, deve essere condiviso in primis dai vertici aziendali per essere esteso, progressivamente, a tutti gli stakeholder e reparti che, in qualche modo, hanno a che fare con quei processi che trattano dati personali (Es. paghe, marketing, commerciale, amministrazione, Risorse Umane HR etc.).

Un adeguato progetto GDPR deve coinvolgere più ruoli, competenze e reparti interni ed esterni all’azienda Condividi il Tweet

COME PROCEDERE per un piano Privacy GDPR: la FASE iniziale

gdpr-come-strutturare-la-fase-iniziale

1. Porre le BASI

Abbiamo detto prima che è necessario coinvolgere molte aree dell’azienda prima fra tutte la Dirigenza.

In questa PRIMA FASE è importante coinvolgere, oltre ai Dirigenti, anche i KeyUsers o responsabili dei vari processi e reparti che più di tutti interverranno nel progetto.

In questo step è necessario individuare bene gli obiettivi e porsi le seguenti domande chiave:

Quali sono gli OBIETTIVI di business a medio e lungo termine dell’azienda?

Quali DATI servono per raggiungere questi obiettivi?

2. Mappare i dati e fare l’analisi delle lacune

In questa è importante rilevare e documentare quali dati personali sono in possesso dell’azienda, da dove provengono, da chi, dove e come vengono gestiti questi dati, rendendone consapevoli i vari team coinvolti.

Quesiti fondamentali per mappare i dati:

  1. Che TIPI di dati raccogli?
  2. PERCHÈ li raccogli?
  3. DOVE archivi i tuoi dati?
  4. CHI ha accesso a questi dati?
  5. Per QUANTO TEMPO vengono conservati?
  6. Vengono rispettati i Diritti Privacy delle persone?

Una volta mappati i DATI bisogna individuare le lacune quindi COSA MANCA (GAP ANALYSYS) per colmare queste lacune e rendere adeguate le procedure alle disposizioni del GDPR e, sottolineiamo “adeguate”, ricordando che il GDPR non prevede il concetto di “misure minime” presente invece nell’attuale normativa “privacy”.

3. VALUTARE i RISCHI – Risk Assessment

Una volta che abbiamo capito cosa manca è necessario definire quali saranno le AZIONI NECESSARIE per adeguare le attuali procedure di trattamento e renderle conformi entro la data di applicazione del 25 Maggio 2018 nonchè, quello che serve per aggiornarle e manutenerle anche dopo tale termine.

Nel #GDPR ciascuna azienda deve effettuare una propria analisi dei rischi ed eseguire azioni specifiche atte a ridurre al minimo il rischio basandosi su moderni principi come “Privacy By Design” e “Privacy By Default” Condividi il Tweet

4. Creare una ROADMAP

Bene, arrivati a questo punto, abbiamo stabilito quali sono gli obiettivi e le priorità, abbiamo definito lo scenario e deciso come agire in base ad un’Analisi specifica dei Rischi in base ai dati ed al rischio per il loro trattamento.

Ora è necessario realizzare che ognuna di queste azioni confluirà in un progetto specifico, ognuno con un suo responsabile, risorse assegnate, competenze e scadenze.

Una vera e propria ROADMAP con le azioni da eseguire, da chi (definizione ruoli e competenze), in che modo e in che tempi, la documentazione da produrre, le comunicazioni interne ed esterne, gli interventi infrastrutturali (IT), ed infine la formazione e la consulenza ai responsabili ed al personale.

5. AGIRE

Adesso che abbiamo coinvolto, analizzato, rilevato, descritto e definito “cosa fare”  è arrivato finalmente il momento di mettere in pratica tutto quello che si è detto.

Innanzitutto è fondamentale che tutti i Ruoli siano ben chiari e definiti ed ogni cosa vada nella direzione giusta.

In questa fase il ruolo di supervisione e coordinamento del DPO è fondamentale, non solo per controllare e sorvegliare ma, anche per fornire consulenza e formazione alle risorse coinvolte e, sopratutto per monitorare, con l’ausilio di strumenti di “Audit”, che non ci siano violazioni dei dati nel qual caso, dovrà prontamente intervenire per gestire il Data Breach con le Autorità di Controllo.

Che cos’è l’OBBLIGO di NOTIFICA o DATA BREACH NOTIFICATION

Una delle più importanti novità introdotte e che, al di là delle importanti sanzioni previste, induce più di tutte a prendere sul serio il GDPR, è proprio l’Obbligo di Notifica o Data Breach Notification.

In caso di Violazione dei Dati, dal 25 Maggio 2018 non sarà più possibile nascondersi dietro il “silenzio” ma, sarà obbligatorio denunciare l’accaduto alle Autorità Competenti (Garante Privacy) e ai diretti interessati, entro un limite massimo di 72 ore dalla scoperta.

..ma non finisce qui!!

Infatti non è sufficiente “limitarsi” a denunciare perché, se si vuole limitare le sanzioni, è necessario essere anche in grado di dimostrare documentando che si è fatto tutto quello che si poteva fare per limitare al minimo possibile il danno.

Bisogna essere preparati al peggio per gestire al meglio una VIOLAZIONE dei DATI! Il #GDPR può essere lo stimolo che serviva alle aziende per mettere in sicurezza il proprio patrimonio di dati. Condividi il Tweet

Di seguito una infografica con un esempio di gestione di DATA BREACH

gdpr-data-breach-notification-infografica

Perché adeguarsi al GDPR?

E poi, mi conviene investire in CYBERSECURITY?

Sono i quesiti che si stanno ponendo un po’ tutti, sopratutto le piccole e medie aziende, che vedono nel GDPR l’ennesima “trappola burocratica”, solo costi e niente vantaggi.

Cercheremo di dare una risposta ragionando al contrario e cioè; quanto potrebbe costare ad un’azienda non investire sul GDPR?

Ma quanto mi può costare un progetto per adeguarmi al GDPR?

Prima di chiedersi quanto può costare adeguarsi al GDPR non è forse il caso prima di chiedersi quanto potrebbe costare una perdita di dati alla tua azienda?

Una violazione della sicurezza che comportasse una perdita di dati importante può essere devastante, anche in una piccola azienda, per vari motivi riassunti in questa infografica:

data-breach-danni-perdita-dati-cybersecurity

Le SANZIONI PREVISTE

Le sanzioni previste dal Regolamento Europeo 2016/679 non sono di poco conto anzi..

  • Fino a 20 Milioni di €uro
  • Fino al 4% del fatturato mondiale annuo

A queste si devono poi aggiungere le possibili implicazioni penali previste dalla legislazione del paese in caso di violazione grave, a cui sarebbero soggetti sia il Titolare (legale rappresentate) che il Responsabile del Trattamento se separati.

Prima di chiedersi QUANTO COSTA ADEGUARSI al GDPR sarebbe meglio chiedersi quanto potrebbe costare NON ADEGUARSI! Condividi il Tweet

Quanto potrebbe costare ad un’azienda una VIOLAZIONE DATI?

Facciamo un esempio pratico di Data Breach e mettiamo il caso di un’azienda che fattura 5 Milioni di €uro, che non si adegua al GDPR e non dispone di un adeguato piano di Disaster Recovery.

Ipotizziamo lo scenario peggiore e mettiamo il caso che l’azienda in questione subisca un ATTACCO HACKER tipo Cryptolocker o Petya, in seguito al quale tutti i dati residenti nei server aziendali siano irrecuperabili compresi i backup di rete.

  • Sanzione prevista dal GDPR ammontante al 4% sul fatturato: 200.000 €uro
  • Perdita di 2 anni di dati gestionali: ipotizzando circa 6 mesi per ricostruire i dati con un costo medio mensile di un impiegato di 3.000 €uro avremmo un costo secco di circa 18.000 €uro.
  • Perdita in produttività aziendale e fatturato nei mesi che seguono al Data Breach: diciamo ottimisticamente l’1% del fatturato? 50.000 €uro

    perdita-dati-in-azienda-danni

Possiamo ipotizzare che il DANNO causato da una VIOLAZIONE DATI per un’azienda che fattura 5 Milioni di €uro sarebbe di quasi 300.000 €uro.

Senza considerare la perdita d’immagine sul mercato e il clima di stress creato in azienda, i cui danni sono difficilmente calcolabili, nonché le possibili implicazioni penali dovute alla totale inosservanza delle normative sulla Privacy.

Come preparare un piano di azione per PREVENIRE e per GESTIRE una VIOLAZIONE DATI

In uno dei tanti convegni sulla Cybersecurity a cui ho partecipato di recente un autorevole docente universitario ha detto questa frase:

“Non chiedetevi se possono attaccarvi o meno… piuttosto quando questo succederà!”

Se siamo tutti d’accordo sul fatto che non esiste sistema informatico “a prova di hacker”, diventa a questo punto di vitale importanza predisporre sempre un PIANO B nel caso si venga attaccati.

Col GDPR diventa ancora più indispensabile essere “preparati a gestire” un’evenienza del genere anche perché, vale sempre il principio che bisogna dimostrare e documentare di averlo fatto nel migliore dei modi possibile.

Esempio di schema di attuazione della Cybersicurezza in base al GDPR

gdpr-come adeguare-la-cybersecurity-infografica-marco-gentilini

CONCLUSIONI

Il GDPR si sta avvicinando a grandi passi e le aziende hanno due modi per affrontarlo:

Il primo modo, che io chiamo “all’Italiana”, è quello di “raffazzonare” alla bene e meglio quello che è stato fatto per il D.Lgs 196/2003 (sempre che sia stato fatto ovviamente..), con l’unico scopo di adottare la forma minima atta ad evitare le sanzioni o, quanto meno, a ridurle al minimo.

Un approccio del genere, a mio avviso, è sbagliato perché la minaccia più grande non è la sanzione, bensì i possibili danni che può arrecare una perdita di dati.

Il secondo modo, molto più maturo e moderno, parte dalla consapevolezza che, nel mondo digitale, tutti i business sono ormai diventati Data Driven e il GDPR può essere quello stimolo in più ed una guida utile per mettere finalmente in atto quelle misure che servono alle aziende per proteggere tutto il loro patrimonio di dati, e quindi non solo quella relativa ai dati personali oggetto del Regolamento.

Misure che, ogni azienda che vuole rimanere competitiva e innovarsi in questo mercato globale, anche in un’ottica di Industria 4.0, dovrebbe attuare in ogni caso ed a prescindere.

Il #GDPR è un'occasione imperdibile per le PMI per mettersi in sicurezza Condividi il Tweet

In definitiva le aziende che vedranno il GDPR come un’opportunità per crescere e rafforzarsi e non come una mera formalità, godranno sicuramente di maggiori benefici e potranno affrontare con più serenità un mercato competitivo che non perdona “passi falsi”.

4 commenti
  1. Denyse
    Denyse dice:

    Negli ultini giorni ho incontrato colleghi e professionisti che non hannonla minima idea e notizia di qs legge !!!
    Ma è possibile ?

    Rispondi
    • Marco Gentilini
      Marco Gentilini dice:

      Tutto quello che viene percepito come disposizione normativa o adempimento obbligatorio che apparentemente non porta vantaggi all’azienda, viene volutamente ignorato o passa in secondo piano, anche perché da tempo è partito il tam tam sul #GDPR sul Web e da parte delle Associazioni di Categoria.
      Quello che manca ancora è una vera e propria cultura della sicurezza, che speriamo di colmare con questo Regolamento.

      Rispondi

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi