Dall’accountability alla data portability, come rendersi compliant al nuovo GDPR, il regolamento sul trattamento dei dati personali obbligatorio da maggio 2018
Le novità del nuovo GDPR o meglio il nuovo regolamento sul trattamento dei dati personali e dare ai nostri clienti più strumenti per vederci chiaro, abbiamo coinvolto il Data Protection Officer e Privacy Consultant Agostino Oliveri, CEO di Sicurdata Srl e Fondatore C.C.D.P. (Centro Competenza Data Protection & E-Privacy).
Dall’incontro che abbiamo tenuto con il prezioso contributo di Oliveri sul nuovo GDPR a Novembre in Seeweb (nella sede di Frosinone) abbiamo estratto le più importanti novità introdotte dal nuovo regolamento europeo.
E abbiamo capito che il nuovo GDPR è soprattutto un nuovo approccio al trattamento dati.
Da una compliance formale, si passa a una compliance più sostanziale.
E le aziende devono impegnarsi seriamente a documentare cosa fanno per la sicurezza.
L’alfabeto delle principali novità GDPR
Accountability
La responsabilità verificabile o accountability è la vera rivoluzione del nuovo GDPR. Il titolare del Trattamento dati deve dimostrare di aver implementato un modello organizzativo e di sicurezza privacy. Modello di cui deve possedere e conservare documentazione apposita basata sul P.I.A. (Privacy Impact Assessment).
By Design e by Default
A partire dalla prima progettazione di un processo aziendale o di un applicativo informatico vanno attuati dei sistemi che consentano il trattamento (di default) dei soli dati necessari alla specifica finalità del trattamento.
Infrastrutture e progetti dovranno in sé essere costruiti dal principio con l’obiettivo della privacy alla stregua di un vero e proprio modello organizzativo (Privacy by Design e by Default).
Conservazione dei dati
Il nuovo GDPR implica l’indicazione dei tempi di conservazione di un dato. Avere un dato online dopo il tempo stabilito (tempo di retention) è sanzionabile.
In particolare, l’art. 30 del GDPR prescrive ai Titolari e ai Responsabili del trattamento la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità.
Il registro dei trattamenti, quindi, è uno strumento fondamentale non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, ma è anche indispensabile per ogni valutazione e analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica accountability).
Data portability
La portabilità del dato è un altro aspetto importante del nuovo GDPR.
Nel costruire la propria infrastruttura compliant, ci si deve assicurare che i dati siano salvati in un formato che poi può essere “trasportato”.
E-commerce
Novità per gli e-commerce. Laddove per istituti particolarmente “delicati” come le banche la comunicazione di di data breach e intrusioni era già prevista, non lo era però in altri casi come per esempio quelli dei portali di e-commerce.
Che oggi devono notificare i personal data breach.
Viene introdotto l’obbligo di notifica in caso di violazione dei dati personali all’autorità di controllo (e in alcuni casi l’obbligo di comunicare l’accaduto anche all’interessato).
Formazione
Le aziende dovranno dimostrare di avere messo in atto un piano di formazione in cui tutto il personale sia adeguatamente preparato a contribuire, nell’insieme, a un sistema sicuro e aderente al progetto di data protection costruito.
Garante
Il Garante (l’autorità di controllo) deve essere informato entro 72 ore e comunque senza un ingiustificato ritardo, nel caso in cui si manifesti un data breach subito dal titolare del trattamento dati.
Deve venire a conoscenza nel più breve tempo possibile di qualsivoglia violazione di dati personali che mini la libertà dell’individuo.
Hardware
L’hardware fisico è solo un contenitore. Il GDPR sensibilizza molto di più sull’aspetto applicativo: è più importante ciò che viene conservato e come e non l’oggetto storage che lo mantiene. Di qui l’importanza del ruolo dello sviluppatore di applicazioni.
Informazioni
L’integrità delle informazioni viene meno quando i dati sono alterati, cancellati o inventati per errore o per dolo.
Logica
La logica del nuovo regolamento è quella di un’impostazione sistemica, in cui si progetta e ci si organizza per essere compliant “per default”.
La logica della 196/2003 era invece una logica di “minimo”: ci si chiedeva quali fossero i requisiti minimi per essere in linea.
Oggi ci si deve chiedere: qual è la misura adeguata e cosa ho fatto per essere compliant?
Massima protezione: come?
“Non ho bisogno di un cassetto sicuro ma di processi che aiutino a creare sicurezza” (cit. Oliveri).
Scardinare qualsiasi approccio fideistico (per esempio la confidenza sul tipo di tecnologia adottata e basta) e attrezzarsi per stabilire metodologie e misure che, nell’insieme, contribuiscano a costruire un sistema protetto.
Nomenclatura
Con il nuovo regolamento cambia anche la nomenclatura.
Quello che prima era “l’incaricato”, diventa “autorizzato”. L’art. 29 in particolare parla di “data handler”.
Il “titolare” invece diventa un “data controller”, che non potrà fare da “DPO” (“Responsabile Protezione Dati”): il data controller non può certo controllarsi da solo…
Per questo occorrerà individuare un Data Protection Officer che vigili affinché siano attuate e rispettate le procedure tecnico-amministrative di compliance con il GDPR.
Obbligo di comunicazione e sanzioni
Notificare il data breach è un obbligo che, se non rispettato, viene pesantemente sanzionato: fino a 10.000.000 euro per le pubbliche amministrazioni, fino al 2 % del fatturato dell’anno precedente per le imprese.
Penetration test
Aiutano a dimostrare che “ho fatto di tutto per avere sicurezza”. Sono indispensabili per testare l’efficacia delle misure tecniche e organizzative disposte per la sicurezza del trattamento.
Quando
Il nuovo Regolamento n. 679/2016 è entrato in vigore il 24 Maggio 2016. E sarà applicabile a partire dal 25 maggio 2018.
Re-ingegnerizzazione
Il nuovo regolamento è un’occasione per studiare modifiche strutturali al sistema, intervenire e ripensare l’infrastruttura Cloud (o non Cloud) con la consulenza di appositi specialisti in grado di lavorare su un progetto applicativo compliant.
Sgravi fiscali
Il Governo italiano ha introdotto (legge di stabilità 2017) degli incentivi fiscali una tantum per gli acquisti di beni e servizi effettuati o ordinati entro il 31 dicembre 2017, purché consegnati entro il 30 giugno 2018.
Incentivi in forma di Super-Ammortamenti del 140% del valore nominale, che potrebbero addirittura salire al 250% se rientranti nel pacchetto «Industria 4.0».
Trattamento
In cosa consiste esattamente il “trattamento dati”? Esso riguarda tutte le operazioni e procedure sia operative che amministrative di un’azienda, e la tecnologia adottata durante il ciclo vita del dato: acquisizione, gestione, eventuale distruzione.
UE
Il nuovo GDPR regolerà il trattamento e la gestione dei dati con disposizioni che dovranno essere rispettate da tutte le aziende degli stati membri dell’Unione Europea. Con sanzioni molto severe per chi non rispetta quanto previsto.
Vantaggi per le aziende
Sicuramente adeguarsi al GDPR rappresenta un costo.
In Italia la maggior parte delle realtà produttive sono le PMI. Non sempre così attrezzate internamente per far fronte all’adeguamento.
Adeguarsi al meglio tuttavia è un vantaggio enorme: non solo mette al riparo dai rischi ma sfruttare la propria compliance al GDPR consente alle aziende di non perdere clienti.
E guadagnarne di nuovi.
Zoom sull’Italia
Il 67% delle aziende non è a norma: è il risultato di una recente ricerca che mette in luce come nella maggior parte delle aziende si pensi di conoscere la normativa ma non c’è un’effettiva preparazione sul tema. E si rischiano sanzioni.
In questo scenario, il GDPR impone una maggiore sensibilità e consapevolezza sul tema dei dati.
Ed è anche una conseguenza naturale di quanto dal ‘96 ad oggi siano cambiate le cose: oggi il patrimonio di dati che abbiamo in mano è enorme, e ogni dato ha un forte valore economico (dai 3 ai 18 $ a informazione!).
Una sfida culturale, insomma.
