Perché dobbiamo parlare di GDPR?
Il primo motivo è sicuramente il fatto che sta per scadere il tempo utile per adeguarsi a questa normativa.
È infatti il 25 maggio 2018 la data da segnare in calendario.
Ma di cosa stiamo parlando?
General Data Protection Regulation.
Si tratta di una normativa europea riguardante il trattamento dei dati personali, entrata in vigore nel 2016 ma che diventerà effettiva proprio dal 25 maggio 2018.
Il GDPR comporterà grossi cambiamenti a livello legale ed informatico per tutte le aziende, grandi e piccole, senza esclusione.
Si tratta appunto di una normativa, non di una direttiva, proprio perché non lascia margine di interpretazione da parte delle nazioni europee.
Quindi: Dobbiamo adeguarci. TUTTI.
E per molte aziende l’adeguamento sarà un processo lungo e faticoso.
Dovranno infatti rafforzare, o se necessario cambiare radicalmente, la gestione e la protezione dei dati aziendali.
Cosa dobbiamo sapere del GDPR?
Prima di tutto chi sono gli attori, ovvero gli individui considerati dalla normativa.
Interessato del trattamento: la persona fisica i cui dati sono oggetto del trattamento.
Titolare del trattamento: la persona fisica o giuridica (azienda o ente) titolare del trattamento. Tratta il dato.
Risponde legalmente a mancata adesione del trattamento.
Responsabile del trattamento: la persona responsabile del trattamento (può essere esterna o interna all’azienda). Come il titolare, risponde legalmente a mancata adesione del trattamento.
DPO: Data Protection Office. Una figura che deve essere inserita per controllare che le norme del GDPR vengano rispettate. È mediatore tra l’azienda ed il Garante della Privacy.
Il DPO vigila sull’operato dell’azienda grazie a conoscenze in materia di diritto e protezione di dati. Questo soggetto potrà essere interno od esterno allo staff, dovrà avere a disposizione tutte le risorse necessarie per svolgere adeguatamente il suo lavoro, dovrà conferire direttamente con i massimi livelli dell’azienda e non potrà svolgere attività che risultino in conflitti d’interesse.
È obbligatorio solo:
Quando il trattamento dei dati è effettuato da autorità o organismo pubblico.
Quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”.
Quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.
Per chi non si dovesse adeguare entro la data riportata, le multe saranno salatissime:
4% del fatturato annuo aziendale o 20 milioni di euro in base a qual è la cifra più alta.
Quali sono le principali caratteristiche del GDPR?
Il diritto all’oblio, ovvero il diritto di “scomparire” online. È una novità inserita dal GDPR.
Il consenso dell’interessato dovrà essere LIBERO, SPECIFICO, INFORMATO, INEQUIVOCABILE E SEMPRE REVOCABILE.
Privacy by Design: un concetto secondo il quale le misure di protezione dei dati devono essere alla base dei processi aziendali. Bisogna pensare sempre alla sicurezza dell’utente, fin dall’inizio di ogni processo commerciale ed informatico. Grazie a questo principio saranno processati solo i dati realmente utili e l’accesso sarà limitato a persone necessarie.
Privacy by default: solo i dati strettamente necessari potranno essere raccolti (e per un tempo limitato). Ogni singola volta che un’azienda avvia un progetto che prevede trattamenti di dati sarà necessario predisporre delle valutazioni di impatto alla privacy.
Il diritto di un individuo di ottenere le informazioni che un’azienda ha su di lui. Questo diritto è definito della “portabilità del dato”.L’interessato ha, appunto, “diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile, e riutilizzabile per poterli conservare e/o trasferire ad altro titolare”.(Questo diritto è previsto nel caso di dati trattati con strumenti automatizzati, dati il cui trattamento si basa sul consenso dell’interessato o su contratto, o dati trasmessi direttamente dall’interessato).
Il diritto di un individuo di negare il consenso a posteriori per il trattamento dei dati.
Il diritto di essere informato propriamente ed in maniera semplice e comprensibile dei rischi che corri nel rilasciare i tuoi dati (il classico “trattamento dei dati” che nessuno mai legge dovrà essere chiaramente esplicitato).
Le informative sul trattamento dei dati rimarranno intatte ma verranno ampliate, includendo il tempo di mantenimento dei dati e i nominativi di chi può li vedere e controllare, insieme al nome del funzionario alla protezione dei dati.
Per quanto riguarda un altro concetto fondamentale riguarda la Breach Notifications, ovvero la notificazione delle violazioni dei dati all’utente. La notifica dovrà essere effettuata entro 72 ore dalla scoperta della violazione senza ritardi ingiustificati.
Il diritto di contestare le decisioni automatizzate, ovvero che processi come la profilazione (quel fenomeno, scaturito da algoritmi, che suddivide gli utenti dividendoli grazie alle informazioni prese online su gusti, età, sesso…Insomma tutte quelle informazioni utili nei processi di marketing).
Cos’è il principio di accountability?
Il concetto di accountability in Italia viene tradotto come principio di responsabilizzazione.
Si tratta appunto di “responsabilizzare” il titolare del trattamento dei dati riguardo ai suoi obblighi e doveri.
Egli deve, inoltre, provare di farlo.
In sostanza bisogna essere conformi alla normativa e riuscire a provarlo.
Ricordate che il GDPR mira a cambiare l’infrastruttura informatica e aziendale delle imprese: la sicurezza informatica sarà alla base di ogni operazione, così come ogni trattamento dovrà essere conforme alla legge. Il tutto nell’ottica di un nuovo modus operandi aziendale, in cui figure di ogni livello collaboreranno per la salvaguardia del dato.
Ma cosa devo fare per adeguarmi?
Come abbiamo detto, si tratterà di cambiamenti a livello legale ed informatico.
Per cominciare, ponetevi queste domande:
Che tipi di dati raccoglie la mia azienda?
Per quale motivo?
Dove vengono archiviati i dati?
Chi e in quanti hanno accesso a questi dati?
Per quanto tempo vengono conservati?
Quando avrete risposto a queste domande, potrete capire il tipo di intervento necessario per mettervi a norma.
Ecco alcuni step da effettuare:
Assessment preventivo: si tratta di una valutazione legale ed informatica della propria azienda.
Registro dei Trattamenti: obbligatorio solo per le aziende con più di 250 dipendenti.
Riporta quali dati vengono trattati, le finalità del trattamento, chi ha accesso ai dati, eventuale trasferimento all’estero, termini della cancellazione dei dati e misure di sicurezza adottate.
Definizione dei ruoli: decidere ruoli e compiti aziendali nell’ambito trattamento dati.
Risk Assessment: Valutazione dei rischi.
Privacy Impact Assessment: si tratta della dotazione di soluzioni di security adeguate. Possono essere di sicurezza informatica come di altro tipo (sistemi di videosorveglianza ecc.)
Manutenzione: il GDPR prevede costante controllo dei sistemi, dei trattamenti, delle procedure interne ecc. per fare in modo di rispettare sempre la normativa.
Io, titolare di un’azienda, come faccio a sapere cosa devo fare a livello informatico?
Se per la parte legale esistono gli avvocati, anche a livello informatico è necessario rivolgersi ad esperti del settore.
Ma qualche dritta ve la possiamo dare lo stesso!
La tua azienda fa:
Back up periodici
Restore dei back up
Cambio password ogni 3/6 mesi
Accessi ai dati limitati alle persone autorizzate
Sistemi di Disaster Recovery
Difesa contro malware e difesa dei confini
Valutazione e correzione continue delle vulnerabilità
Se la tua azienda fa tutte queste cose è già a buon punto per diventare GDPR-compliance.
Costerà molto adeguarsi?
Ovviamente dipende dal tipo di azienda, ma la spesa non sarà mai superiore a quella che può derivare da un data breach.
Diciamo che è meglio prevenire che curare, perché nel caso avvenga (e abbiamo visto nel 2017 quanti attacchi ci sono stati,possiamo immaginare quanti ce ne saranno in futuro) un’azienda rischia di pagare multe esorbitanti,insieme alle spese per il recupero dei dati e per le giornate di lavoro perse.
Senza considerare la perdita di reputazione.
Come posso mettermi a norma?
Come abbiamo detto, è necessario consultare degli esperti del campo legale ed informatico, per valutare il tipo di dati che tratta l’azienda e cosa deve fare per proteggerli.
Il concetto da tenersi a mente è: devi fare tutto il possibile per metterli in sicurezza.
Se avete bisogno di supporto e consulenza, TAG vi può aiutare: grazie al nostro team di tecnici renderemo la vostra azienda GDPR-compliance!
Comentarios