PANORAMICA

 

Il 25 maggio entra in vigore il Regolamento UE 2016/679 definito anche GDPR – General Data Protection Regulation.

Con l’introduzione di questo regolamento il Legislatore europeo rovescia completamente la prospettiva dell’attuale quadro normativo e sposta l’attenzione sui doveri e sulla responsabilizzazione del titolare del trattamento (“accountability”). Obiettivo del GDPR è quello di armonizzare la legislazione in termini di privacy e trattamento del dato e rafforzare così la tutela dei diritti dei cittadini in questo ambito.

Il GDPR richiede alle aziende di proteggere i dati personali con il fine di evitare forme di trattamento illegittime, in particolare:

  • Divulgazione non autorizzata
  • Accesso o alterazione di dati personali

Per questo vi è l’esigenza di implementare tecniche appropriate che assicurino un elevato livello di sicurezza.

A partire dal 25 maggio 2018 tutte le organizzazioni quindi, sono chiamate a dimostrare di aver implementato misure adeguate per ridurre il rischio di non conformità con la norma e che il dovere di protezione dei dati è seriamente tenuto in considerazione. Sono previste sanzioni fino al 4% del fatturato globale delle aziende, in caso di violazione dei dati.

Le aziende devono essere in grado di dimostrare la conformità al regolamento tramite misure di governance, che includano:

  • Documentazione dettagliata
  • Aggiornamento delle informative e dei contratti
  • Registrazione e verifica dei processi di gestione previsti dalla GDPR (tra cui trattamenti, nomine, informative)
  • Valutazione continua del rischio
  • Formazione del personale.

CHI DEVE ADEGUARSI

E’ impattata dal GDPR qualunque organizzazione (pubblica, privata, profit, no-profit, etc…) che raccoglie, conserva o tratta dati personali di residenti dell’Unione europea, indipendentemente da dove sia localizzata l’organizzazione stessa.

I dati raccolti possono essere di:

  • Business partner
  • Fornitori
  • Clienti e prospect
  • Dipendenti.

Le organizzazioni nel regolamento sono definite come “Titolari del Trattamento”, e sono coloro che determinano perché e come vengono trattati i dati personali. Ai titolari possono affiancarsi i “Responsabili del Trattamento” che sono coloro che agiscono per conto dei titolari, senza però avere la titolarità dei dati.

Per entrambi i soggetti, che possono essere persone Fisiche o Giuridiche, il GDPR indica precisi obblighi e prevede severe sanzioni in caso di violazione o non compliance al regolamento.

DA DOVE INIZIARE

 

Considerando quante attività e persone sono coinvolte nell’adeguamento al GDPR è assolutamente sconsigliato aspettare l’entrata in vigore del Regolamento per capire come adeguarsi ed iniziare ad introdurre i necessari cambiamenti in azienda.

La prima attività è iniziare un’ Assessment sulle principali Aree Aziendali impattate dalla GDPR:

Governance:

Prima di tutto l’azienda deve raccogliere tutte le informazioni che riguardano il trattamento dei dati, cominciando prima di tutto a prendere in considerazione le attività e le procedure già attivate per adeguarsi alla normativa attualmente vigente (Codice Privacy D.Lgs 196/2003 e provvedimenti del Garante della Privacy).
Successivamente identificare le Misure da Adottare, le Analisi da Condurre oltre agli Strumenti ed Organizzazione da implementare.

Comunicazioni:

Con il supporto di una struttura di consulenza legale si dovrà analizzare ed aggiornare modelli e politiche di comunicazione verso Dipendenti, Fornitori e Clienti, aggiornare le varie informative sia tradizionali (documenti e contratti) che digitali (siti web, portali, intranet).

Processi:

L’azienda deve poi analizzare i settori di business in cui opera, le categorie di dati trattati, i trattamenti affidati a terzi, le certificazioni già ottenute, insomma tutto quanto concorra ad arrivare ad uno schema completo che consenta di mappare: processi, ruoli, procedure, competenze, documentazione, sistemi di controllo e tutto quanto abbia impatto sul trattamento dei dati.
La necessità di rivedere tutto l’impianto relativo alla gestione dei dati personali deve essere visto come un’opportunità  per rivedere ed ottimizzare i processi ed eliminare raccolte di dati non necessari.

Dati:

Regolamentare le Basi Dati, il loro utilizzo, garantire la trasparenza e affidabilità richieste dalla GDPR. Assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati sono gli aspetti principali da valutare in ottica GDPR.

Sicurezza:

Pseudonimizzazione e Cifratura dei Dati, Integrità, Disponibilità, Resilienza dei Sistemi e Data Recovery sono i principali concetti richiamati all’interno della normativa GDPR rispetto ai quali i Sistemi Informativi sono chiamati a dare garanzie.
Il nuovo Regolamento introduce anche il concetto di “protezione dei dati fin dalla progettazione (Privacy by Design) e protezione per impostazione predefinita (Privacy by Default)”, sottolineando che la sicurezza del dato e delle infrastrutture deve essere garantita sin dall’inizio del processo di raccolta e non a posteriori.

 

COME POSSIAMO AIUTARTI

Assessment

Inizialmente con un Assessment attraverso il quale ottenere un’analisi dei rischi e dell’impatto del GDPR sui Sistemi Informativi.

L’IT da sola non basta! In questa fase sarà necessario identificare la struttura di Consulenza Legale che insieme a noi, esperti IT, analizzerà tutti gli aspetti normativi e fornirà le linee guida di adeguamento sia tecnologico che di processi e procedure. Possiamo aiutarti anche in questo!

Adeguamento

A seguito dell’ Assessment Legale e Informatico possiamo supportare la tua azienda nel Processo di adeguamento sia per la componente del Modello di Governance dei sistemi informativi (processi e procedure), che per la componente Tecnologica. La nostra missione sarà quella di rendere i Sistemi Informativi della tua azienda in linea con i dettami della GDPR e garantire la massima sicurezza nella protezione dei dati.

Strumenti di Gestione

La nuova normativa GDPR introduce il nuovo concetto di Accountability: è responsabilità delle Aziende adottare Procedure per Provare, Verificare e Valutare l’efficacia delle misure tecniche ed organizzative.
Xperience GDPR Edition è la soluzione che ti permette di governare giorno per giorno tutti i processi, le procedure, i ruoli, la documentazione e gestire tutti gli adempimenti nel rispetto dei dettami introdotti dalla GDPR.

I termini chiave del GDPR

 

ACCOUNTABILITY

Un approccio basato sulla responsabilità

Il grande cambiamento apportato dal GDPR sta nel porre con forza l’accento sulla  “responsabilità” (accountability) di titolari e responsabili del trattamento dei dati personali.

Questo si traduce nella precisa richiesta di “adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento” (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento).

Ciò vuol dire che le organizzazionI devono essere in grado di dimostrare di aver analizzato le richieste del regolamento sul trattamento dei dati personali ed aver implementato sistemi, procedure e programmi che consenta loro di essere in compliance con la norma.

Si tratta di una grande novità per la protezione dei dati in quanto sono i titolari del trattamento a decidere in completa autonomia modalità, garanzie e  limiti del trattamento dei dati personali, purché rispettino le disposizioni normative e aderiscano a criteri specifici indicati nel regolamento.

Dati personali

Si intende dato personale qualsiasi informazione che riguarda una persona fisica identificata o identificabile anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata attraverso informazioni supplementari.

Esempio di dato personale sono: il nome e cognome o denominazione; l’indirizzo, il codice fiscale, un’immagine, la registrazione della voce di una persona, un’ impronta digitale, i dati sanitari o  bancari, ecc..

Dato personale è quindi qualsiasi elemento suscettibile di essere ricondotto a un soggetto di cui esprima, nelle forme e nei modi più vari, un qualche profilo della persona o della personalità.

Il dato personale è un concetto dinamico, che va sempre riferito al contesto: un’informazione che da sola non consente l’identificazione di un individuo ma, incrociata con un altro dato può essere riconducibile ad un soggetto o ad un qualche profilo della sua persona o personalità, è a tutti gli effetti un dato personale (questo vale, ad esempio, per gli indirizzi email aziendali).

Data Protection Officer

Il Data Protection Officer, o anche Responsabile per la protezione dei dati, è una figura introdotta dal GDPR.

Il Data Protection Officer ha il compito di:

  • Informare e consigliare il titolare o il responsabile del trattamento sugli obblighi previsti dal Regolamento e quindi verificarne l’attuazione e l’applicazione
  • Formare i dipendenti in materia di privacy
  • Cooperare e collaborare con l’Autorità di controllo

La nomina del Data Protection Officer è designata dal titolare o dal responsabile del trattamento. Quando è obbligatorio il Data Protection Officer?

  • Pubblica amministrazione, eccetto le autorità giudiziarie
  • Se l’attività principale consiste nel trattamento di dati, che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  • Se l’attività principale consiste nel trattamento su larga scala di dati sensibili
Valutazione dei rischi - PIA

Al fine di assicurare la trasparenza e protezione nelle operazioni di trattamento dei dati personali, vi è l’obbligo di redigere una valutazione dei rischi inerenti ai trattamenti (Privacy Impact Assessment). La valutazione dei rischi è obbligatoria nei seguenti casi:

  • se il trattamento presenta un rischio per i diritti e le libertà fondamentali dell’interessato
  • se il trattamento riguarda categorie particolari di dati, come ad esempio i dati biometrici
  • se riguarda la sorveglianza di zone accessibili al pubblico

La valutazione deve tener conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative che il titolare considera necessari per mitigare tali rischi. A seguito della valutazione, il titolare deciderà in autonomia se iniziare il trattamento, (in considerazione delle misure adottate per mitigare il rischio) o se consultare l’autorità competente per maggiori indicazioni su come gestire il rischio residuale.

Nella valutazione dei rischi, vanno presi in considerazione anche gli eventuali impatti sui diritti degli interessati derivanti dall’operato di fornitori e sub – fornitori.

Data Breach

Il Data Breach o violazione dei dati personali rappresenta la divulgazione (intenzionale o non), la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o Pubblica Amministrazione. Un Data Breach può essere causato non solo non solo da un attacco informatico, ma anche dalla perdita accidentale o furto di dati personali.

Il GDPR prevede l’obbligo di comunicare alle autorità di controllo la violazione dei dati non oltre 72 ore dalla sua rilevazione.

La comunicazione del Data Breach alle autorità deve includere:

  • le categorie ed il numero di dati interessati dalla violazione (laddove possibile),
  • le possibili conseguenze della violazione,
  • le misure attuate o previste per mitigare i danni,
  • il nominativo ed i contatti del Data Protection Officer o di un referente che possa fornire maggiori informazioni.

Viene poi esteso l’obbligo di darne comunicazione agli interessati nel caso in cui vi sia rischio elevato per la libertà ed i diritti degli stessi.

Diritto all'oblio

Il diritto all’oblio, o anche diritto di cancellazione, consente di chiedere ed ottenere la rimozione dei dati personali quando ricorre una delle seguenti condizioni:

  • Quando i dati personali non sono più necessari rispetto ai fini per cui sono stati raccolti o trattati
  • Se l’interessato revoca il consenso al trattamento dei dati, il periodo di conservazione degli stessi è scaduto o non ci sono altri legittimi motivi per proseguire il trattamento
  • Quando l’interessato si oppone al trattamento dei dati personali
  • I dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento
  • Nel caso in cui i dati personali sono stati trattati in modo illecito
  • Se i dati raccolti riguardano l’offerta di servizi della società dell’informazione ai minori

Al contrario, non è previsto il diritto all’oblio nei seguenti casi:

  • Quando vengono trattati il diritto di espressione e il diritto di informazione
  • Per l’adempimento di un obbligo legale
  • Per motivi di interesse pubblico nel settore della sanità pubblica
  • Ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici
  • Accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
Registro delle attività di trattamento

Il registro delle attività di trattamento è il documento che riporta tutte le operazioni di trattamento dei dati personali, deve avere forma scritta e deve essere esibito, qualora richiesto, al Garante.

Gli organismi con meno di 250 dipendenti, a meno che non effettuino trattamenti a rischio, non sono tenuti alla redazione di un registro delle operazioni di trattamento.

Si tratta di uno strumento fondamentale, non soltanto per essere in regola con eventuali supervisioni da parte del Garante, ma va anche ad integrare un sistema di corretta gestione dei dati personali, proprio perchè fornisce un quadro aggiornato di tutti i trattamenti in essere in azienda.

Proprio per questo motivo, si invitano tutti i titolari ed i responsabili del trattamento dei dati personali a dotarsi di un registro delle attività di trattamento, anche laddove non sia obbligatorio.

La tua azienda ha bisogno di supporto per gestire la compliance?

Contattaci