Responsabile trattamento dati

Il responsabile del trattamento dati personali, chi é?

Responsabile del trattamento dati è qualunque soggetto che tratta dati personali per conto del titolare, su sua istruzione e sotto la sua autorità. Per comprendere a pieno questa definizione, occorre fare un passo indietro e spiegare chi è il titolare.

In ambito privacy si distinguono tre ruoli fondamentali: interessato, titolare del trattamento e responsabile del trattamento.

L’interessato è la persona fisica a cui i dati personali si riferiscono.

Il titolare è quel soggetto giuridico che tratta i dati personali degli interessati determinandone le finalità. Ad esempio, una società è titolare del trattamento dei dati dei propri dipendenti, dei propri clienti, dei propri fornitori, degli utenti del suo sito etc. Il titolare può essere una persona fisica (es. un libero professionista o una impresa individuale) oppure una società, un’associazione etc. Titolare è in questi casi la società stessa oppure l’ente e non il suo legale rappresentante.

Per trattare questi dati, il titolare si serve in primo luogo dei propri dipendenti, che di conseguenza devono essere autorizzati. Inoltre, si affida anche a soggetti esterni all’azienda, che trattano alcuni dati per suo conto. Si pensi al consulente del lavoro, al medico competente ed all’RSPP, i quali trattano per conto del datore di lavoro (titolare) i dati dei suoi dipendenti (interessati). Così come il titolare, anche il responsabile trattamento dati può essere sia una persona fisica che una persona giuridica.

Responsabile esterno ed interno e responsabile della protezione dati: facciamo un po’ di chiarezza!

In base a quanto stabilito nel GDPR, il responsabile del trattamento (processor) è, per definizione, un soggetto esterno.

Prima del 25 maggio 2018, in Italia si era diffusa la prassi di nominare dei responsabili del trattamento interni all’azienda. In realtà, si trattava di un’anomalia, che mai era stata prevista dalla normativa europea e che probabilmente derivava dalla non “felicissima” scelta di tradurre il termine inglese processor con quello di responsabile del trattamento. Il responsabile interno era in sostanza un dipendente che si assumeva il compito di gestire ed organizzare la privacy all’interno dell’azienda. Con l’entrata in vigore del GDPR, non è necessario che questa figura scompaia ma è consigliabile definirla in altro modo (es. referente privacy), per non rischiare di fare confusione con il responsabile del trattamento, che è solo e soltanto esterno.

Un altro ruolo che, a causa della traduzione italiana, suscita spesso confusione è quello del responsabile della protezione dei dati (RPD). Questo soggetto non va confuso con il responsabile del trattamento. Si tratta piuttosto del ruolo più comunemente conosciuto con il termine inglese Data Protection Officer (DPO). Per maggiori dettagli su questa nuova figura rimando all’articolo “DPO (Data Protection Officer): chi è e chi deve assumerlo“.

Come individuare un responsabile del trattamento dati personali

Come si fa a capire quando un soggetto tratta dati personali in qualità di responsabile del trattamento oppure in qualità di titolare?

Per capirlo possiamo prendere come riferimento l’esempio tipico del consulente del lavoro. Quando tratta i dati personali dei dipendenti dei propri clienti per elaborare le buste paga, il consulente del lavoro opera in qualità di responsabile trattamento dati. In questo caso, egli non sta trattando i dati per suo conto ma per conto del suo cliente. Il consulente del lavoro può a sua volta avere dei dipendenti propri. Quando tratta i loro dati personali, non lo fa in qualità di responsabile bensì di titolare del trattamento.

Il responsabile del trattamento è in sostanza un outsourcer. Si tratta di un soggetto esterno all’impresa, che tratta dati personali non per suo conto ma per conto dell’impresa sua cliente.

Chi sono i responsabili esterni di un’impresa?

Lo stesso ragionamento visto sopra può essere applicato a tutti gli altri professionisti o società esterne a cui un’impresa si affida per lo svolgimento di determinati servizi.

Con riferimento ai trattamenti dei dati personali dei dipendenti, sono responsabili il consulente del lavoro e l’RSPP, se esterno. Lo stesso commercialista ha spesso bisogno di trattare dati personali dei dipendenti delle società sue clienti. In alcuni casi, possono essere responsabili del trattamento dati le società che forniscono servizi di formazione al personale oppure consulenza in materie di sicurezza ed igiene sul lavoro. Non è invece responsabile il medico competente, il quale opera come titolare autonomo del trattamento.

Altri esempi di responsabili del trattamento sono i fornitori di servizi informatici. Il tecnico che ha un accesso costante, spesso anche da remoto, al sistema informatico del proprio cliente, deve essere nominato responsabile del trattamento. Lo stesso vale per la software house che ha accesso ai dati contenuti nel gestionale, all’hosting provider che ospita i dati, a chi fornisce un servizio di back-up in cloud etc. In tutti questi casi è necessario distinguere chi interviene solo sporadicamente sui sistemi informativi da coloro che hanno con l’impresa un rapporto costante e continuativo. Nel primo caso possono essere sufficienti delle mere autorizzazioni, mentre nel secondo è necessario stipulare un contratto di nomina a responsabile del trattamento.


Si veda anche “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“.


In ambito marketing, operano come responsabili del trattamento le web agencies, chi gestisce il sito web e le pagine social dei propri clienti, le società di telemarketing etc.

E  l’avvocato allora?

La distinzione fra responsabile trattamento dati e titolare non è sempre chiara come nei casi sopra menzionati. In alcune ipotesi, come quella dell’avvocato, occorre approfondire il tipo di rapporto che si instaura fra cliente e professionista.

Nel mio caso, ad esempio, quando svolgo per conto dei miei clienti il ruolo di consulente privacy, mi faccio sempre nominare come responsabile del trattamento dati. Ciò perché, per poter fornire il servizio, ho bisogno di trattare alcuni dati dei loro dipendenti, clienti e fornitori. Devo infatti conoscere nome, cognome e mansioni del personale per poter redigere le lettere d’incarico e predisporre un’organigramma privacy. Devo conoscere i dati dei loro fornitori per effettuare le mappature dei flussi e predisporre le nomine dei soggetti esterni. Talvolta devo conoscere alcuni dati dei loro clienti per predisporre i registri etc.

In questo caso, anche se avvocato, agisco indubbiamente in qualità di responsabile esterno, esattamente come un consulente del lavoro o un commercialista.

La questione è invece un po’ più complicata quando assisto un cliente in una controversia stragiudiziale o giudiziale. Anche in tale ipotesi posso venire in contatto con dati personali dei suoi dipendenti (ad esempio per predisporre le testimonianze) oppure di suoi clienti o fornitori. Tuttavia, a mio parere, in queste ipotesi il mio ruolo non è quello di responsabile esterno, bensì di titolare autonomo del trattamento. Ciò in quanto sono io a determinare le finalità e le modalità di trattamento dei dati che il cliente mi fornisce. Nel trattarli, non seguo e non posso essere obbligato a seguire le sue istruzioni, bensì devo poter operare in autonomia.

La nomina del responsabile trattamento dati (Data Protection Agreement)

Una volta compreso chi sono i responsabili del trattamento, occorre capire che cosa bisogna fare.

L’art. 28 del GDPR obbliga il titolare ed il responsabile a concludere un contratto che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, i loro obblighi e diritti.

Non si tratta di un atto unilaterale di nomina ma di un vero e proprio contratto stipulato fra due parti. Chi è dunque a dover redigere e proporre il contratto, il titolare o il responsabile? Non vi è una regola per questo. Idealmente, ogni contratto dovrebbe essere negoziato e predisposto in accordo fra le parti. Tuttavia, ci rendiamo conto che questo non è sempre possibile. Vi immaginate Google o Amazon che negoziano con una piccola impresa il contratto che li nomina responsabili del trattamento?

Quando mi trovo ad assistere soggetti che ricoprono il ruolo di responsabili esterni per i loro clienti (come software house, web agency o fornitori di servizi informatici), il mio consiglio è quello di adeguare la loro contrattualistica e predisporre un contratto standard per la nomina a responsabili del trattamento. Se non lo fanno, saranno i clienti ad inviare loro i contratti redatti dai rispettivi consulenti privacy (più o meno improvvisati) ed a pretenderne la firma. Per una software house con centinaia o migliaia di clienti diventa di fatto impossibile gestire contratti diversi per ciascuno. Di conseguenza si troverà a firmare, spesso senza saperlo, cose senza senso od obbligazioni impossibili da adempiere.

Il mio consiglio è quindi quello di adeguare immediatamente al GDPR la contrattualistica che si sottopone ai propri clienti, prevedendo anche la nomina come responsabili del trattamento. Spetterà invece al cliente che abbia esigenze particolari fornire istruzioni che integrino quelle standard contenute nel contratto o chiedere delle modifiche.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Software house e GDPR

Software house e GDPR: consigli e adempimenti

Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente l’approccio alla privacy. Non c’è dubbio che questa nuova normativa interessi chiunque, perché è impossibile svolgere attività d’impresa senza trattare dati personali. Ciò non toglie che con l’avvicinarsi del 25 Maggio 2018 si siano scatenate delle reazioni spesso ingiustificate. Non tutte le imprese infatti trattano i dati allo stesso modo e sono poche quelle che dovranno operare stravolgimenti per adattarsi al GDPR. Fra di esse ci sono senza dubbio le software house.

Quando cerco di spiegare ad una software house l’importanza di adeguarsi al GDPR, dico sempre che la paura di subire sanzioni deve essere l’ultima delle motivazioni. A sanzionare una software house che decida di ignorare il GDPR non ci penserà il Garante ma il mercato stesso. Al contrario, una software house che dimostri di trattare i dati personali in modo adeguato potrà ottenere un incredibile vantaggio concorrenziale. Vediamo perché.

La software house come responsabile esterno del trattamento

In materia di privacy si distinguono due ruoli fondamentali: il titolare del trattamento ed il responsabile del trattamento. Titolare è il soggetto che decide le finalità e le modalità del trattamento. Diversamente, il responsabile è quel soggetto esterno che tratta i dati per conto del titolare, seguendone le istruzioni.

Solitamente, la software house assume il ruolo di responsabile esterno del trattamento dati. Conformemente all’art. 28 Reg. UE 2016/679, dovrà essere designata ed istruita mediante un contratto scritto. Ciò vale senza alcun dubbio quando viene fornito un software in modalità Cloud SaaS (si veda “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“). In questo caso, il titolare esternalizza il trattamento automatizzato dei propri dati verso la software house e pertanto non può esimersi dal nominarla come responsabile esterno, né quest’ultima può esimersi dal farsi nominare. Anche nei casi in cui viene fornita una licenza d’uso in modalità “on premise”, la software house tratta comunque i dati del titolare. Si pensi alla fornitura dei servizi di assistenza, aggiornamento e manutenzione del software, che possono comportare accesso ai dati anche da remoto (tramite VPN o teamviewer).

In tutti questi casi la software house deve fare attenzione a contrattualizzare in maniera adeguata le modalità di trattamento dei dati personali.

Il GDPR come vantaggio concorrenziale per una software house

Principio fondamentale del GDPR è quello di responsabilizzazione (accountability). Il titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati. Egli deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni.

Nel momento in cui un titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali. Non soltanto, il titolare deve anche svolgere degli audit periodici, per verificare che la software house tratti i dati in maniera conforme al GDPR ed a quanto dichiarato nel contratto di designazione a responsabile esterno. Se non lo fa, il titolare diviene direttamente responsabile per culpa in eligendo ed in vigilando.

Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR. Contrariamente, una software house che non si adegui alle nuove normative, rischia di non poter più essere scelta dai propri clienti e partner commerciali.

L’importanza delle certificazioni e dei codici di condotta per una software house  

Come spiegato sopra, nel momento in cui un titolare sceglie una software house, deve effettuare una due diligence per assicurarsi che tratti i dati in maniera conforme al GDPR. Allo stesso modo, dovrebbe effettuare su questa società ispezioni ed audit periodici, per verificare che la conformità sia mantenuta nel tempo.

Se questo è vero in teoria, nella pratica ciò è spesso difficile da attuare. Gli imprenditori hanno altro a cui pensare. Molti di loro hanno già problemi ad adeguare la propria azienda alla nuova normativa, figuriamoci se trovano il tempo e le risorse per verificare che anche i loro responsabili esterni si siano adeguati.

Una soluzione a questo problema può essere data dalle certificazioni e dai codici di condotta, di cui agli artt. 40 e ss. Reg. 2016/679. Il fatto che una software house abbia ottenuto una certificazione privacy oppure aderisca ad un codice di condotta, rappresenta di per sé una grossa garanzia di adeguatezza per il titolare che la sceglie. Ad oggi non ci sono ancora certificazioni o codici di condotta ufficiali. Tuttavia, non appena usciranno, potranno rappresentare un sicuro vantaggio concorrenziale per le software house che li adotteranno.

Per arrivare pronti al momento in cui usciranno le prime certificazioni ed i primi codici di condotta, una software house deve iniziare a lavorare sin da adesso. Diversamente, rischia di non restare al passo con il mercato.

Pensare al GDPR nello sviluppo dei software: privacy by design e by default

Oltre all’accountability, principi fondamentali del GDPR sono quelli di privacy by design e privacy by default. Nel mondo del software, privacy by design significa che bisogna iniziare a porsi il problema del trattamento dei dati personali sin dalla fase di progettazione. Privacy by default significa che deve essere previsto di default il maggior livello di protezione possibile, senza costringere l’utente a comportamenti attivi per innalzarlo.

Un software, soprattutto un gestionale, che si conformi a questi principi, avrà anch’esso un vantaggio incredibile sulla concorrenza. Infatti, la maggior parte dei dati aziendali vengono trattati mediante i software gestionali. Un software che preveda misure quali la pseudonimizzazione, la crittografia, la registrazione dei consensi, la registrazione dei log etc. facilita di molto il compito dell’imprenditore che intenda conformarsi al GDPR. Di conseguenza, nella scelta di un software gestionale, l’aspetto privacy giocherà un ruolo fondamentale.


Per conoscere le modalità per prevenire e gestire i data breach potete leggere l’articolo “Violazioni della privacy: come gestire un data breach“.


Conclusioni

Il GDPR e la privacy in generale sono visti dai più come un costo ed una scocciatura. Se c’è però una categoria che deve guardare al GDPR come ad un’opportunità di crescita è proprio quella delle software house. Coloro che hanno già iniziato a lavorare sulla privacy, nominando un DPO o affidandosi ad un professionista competente, potranno presto raccoglierne i frutti. Per le software house che invece trascureranno la materia del trattamento dei dati personali, le sanzioni del Garante saranno un rischio, quelle del mercato una certezza.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

GDPR Compliant

GDPR Compliant in 11 mosse per PMI

Il General Data Protection Regulation GDPR (in italiano RGPD) è efficace ormai dal 25 Maggio 2018. Anche la c.d. proroga di 8 mesi (che poi una vera proroga non era) è scaduta il 19 Maggio 2019. Nonostante ciò, le aziende in regola con il GDPR sono ancora pochissime. Alcune hanno fatto qualche sforzo, ritenendo sufficiente stampare ed in inviare dei documenti, magari trovati su Internet o preparati da consulenti più o meno improvvisati. Altri hanno addirittura nominato un DPO, che però hanno visto 2 volte in un anno e che magari si è limitato a mettere a disposizione il suo nome ed a consegnare qualche prestampato in cambio di poche centinaia di euro.

Nonostante ciò, la qualità della documentazione che circola in rete e di cui le aziende vengono inutilmente sommerse ogni giorno dimostra come vi sia ancora la più totale ignoranza in materia.

Ma allora, cosa devono fare le aziende per mettersi in regola? In seguito cercherò di riassumere i punti essenziali per raggiungere una compliance GDPR. Tuttavia, per poter ottenere risultati soddisfacenti è indispensabile capire la norma e rivoluzionare il proprio approccio al trattamento dei dati, non solo personali.

Cambiare l’approccio ai dati per essere GDPR Compliant

Siamo abituati a pensare alla privacy come ad una inutile scocciatura: una serie di firme su fogliacci che nessuno legge o capisce, ma che non ci risparmiano comunque da chiamate indesiderate e dall’uso incontrollato dei nostri dati. É fuori dubbio che le leggi sulla privacy in vigore sino ad oggi abbiano fallito e siano rimaste del tutto inapplicate. É quindi normale che un imprenditore consideri il GDPR come un’ulteriore scocciatura, da liquidare nel minor tempo ed al minor costo possibili.

Se questo resta l’approccio dell’imprenditore, diventare GDPR Compliant sarà una missione impossibile. Il Nuovo Regolamento Europeo rivoluziona completamente l’approccio al trattamento dei dati. Si passa da un modello fatto di adempimenti formali e misure minime da rispettare ad uno basato sulla responsabilizzazione (accountability) dell’imprenditore e sulla riduzione reale del rischio.

Per le PMI che non trattano dati ad alto rischio o in grande quantità, ciò comporta un notevole alleggerimento degli obblighi di legge rispetto al passato. Tuttavia, l’imprenditore non può più disinteressarsi del trattamento dei dati dopo aver fatto firmare un paio di fogli, né delegare un consulente e sperare di non doversene più preoccupare. Affidarsi ad un professionista realmente competente è indispensabile ma lo è anche lavorare insieme a lui. Solo in questo modo l’adeguamento al GDPR può tradursi in una occasione per modernizzare e migliorare l’efficienza e la sicurezza dell’azienda con riferimento ai dati, non soltanto quelli personali.


Si veda anche “ISO 27001 e GDPR per la Sicurezza dei Dati Aziendali“.


Undici punti da seguire per diventare GDPR Compliant

Punto 1: la mappatura dei trattamenti

Il primo passo consiste nell’individuare i trattamenti di dati personali effettuati dall’azienda e mapparli.

Per ciascuna categoria di dati trattati, occorre individuare chi siano i soggetti interessati, verificare la finalità ed i criteri di liceità dei trattamenti, ovvero le norme che li legittimano.

Occorre stabilire quale sia il ruolo dell’impresa in relazione ad ogni singolo trattamento, ovvero se agisca in qualità di titolare, di responsabile o di contitolare.

É necessario individuare la durata del trattamento (c.d. data retention) e verificare che corrisponda né più né meno a quella necessaria per adempiere alle finalità perseguite.

Infine, bisogna individuare provenienza e destinazione dei dati, ovvero le modalità di raccolta e di conservazione e i destinatari a cui vengono comunicati.

Una volta fatto questo, un consiglio utile è quello di creare delle mappature grafiche, che ci permattano di avere tutto chiaro e disponibile a colpo d’occhio, anche in caso di controlli.

Un esempio pratico: la mappatura dei dati dei dipendenti

Possiamo fare un esempio pratico della mappatura di un trattamento comune a tutte le imprese: la gestione dei dati del personale dipendente.

In primo luogo, si individuano i dati trattati per ciascun dipendente: nome, cognome, codice fiscale, data e luogo di nascita, indirizzo, coordinate bancarie, numero di telefono, e-mail, qualifiche, stipendio, orario di lavoro, iscrizione a sindacati, idoneità al lavoro, assenze per malattia ed infortuni, permessi di cui alla l. 104/92 etc.

Individuati i dati, si determinano le finalità: esecuzione del contratto di lavoro, preparazione delle buste paga, monitoraggio delle presenze, gestione dei permessi, igiene e sicurezza etc. I criteri di liceità saranno: l’art. 6 lett. b) RGPD (trattamento necessario all’esecuzione del contratto) per quanto riguarda i dati comuni; l’art. 9, lett. b) e h) RGPD (adempimento degli obblighi di diritto del lavoro e di medicina preventiva sul lavoro) per quanto riguarda i dati c.d. sensibili (iscrizione a sindacati, stato di salute etc.).

A questo punto, si stabilisce la durata del trattamento in base alle finalità (in genere 10 o 5 anni oltre la conclusione del rapporto di lavoro). Infine, si determinano le modalità di raccolta dei dati e i destinatari (es. consulente del lavoro, RSPP, medico competente, INPS, INAIL etc.).

Punto 2: valutare la necessità di nomina di un DPO

Una volta mappati i dati, sarà possibile verificare se la società sia o meno obbligata alla nomina di un DPO in base all’art. 37 RGPD.

Obbligati alla nomina sono le Amministrazioni Pubbliche oppure i soggetti che, come attività principale effettuano:

  • il trattamento, su larga scala, di dati particolari di cui agli artt. 9 e 10 RGPD;
  • trattamenti che comportano il monitoraggio regolare e sistematico di dati personali su larga scala.

Se si decide di non nominare un DPO, la scelta deve essere motivata e messa per iscritto mediante una breve relazione.

Punto 3: inventario degli asset e delle misure di sicurezza

Per poter tenere sotto controllo i dati ed effettuare delle analisi dei rischi, è necessario inventariare tutti gli strumenti con cui si effettuano trattamenti di dati personali.

L’inventario degli asset avrà ad oggetto i sistemi informatici collegati alla rete aziendale (computer dektop e laptop, tablet, smartphone, server, NAS, router etc.) ed i software utilizzati (ERP, CRM, servizi in Cloud etc.); siti web e pagine social; database ed archivi, anche cartacei.

Ciascun asset deve essere associato ai trattamenti che lo riguardano ed al personale che lo gestisce.

Mantenere un inventario degli asset sempre aggiornato permette all’azienda di individuare facilmente vulnerabilità che possono rappresentare delle fonti di rischio.

Punto 4: valutazioni dei rischi e DPIA

Una volta mappati i trattamenti e gli asset a cui sono collegati, è necessario effettuare per ciascun trattamento una valutazione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.

Il criterio oggi più utilizzato per effettuare queste valutazioni è quello fornito da ENISA, nel suo Handbook on Security on Personal Data.

In alcuni casi definiti dall’art. 35 RGPD, sarà necessario approfondire l’analisi di rischi specifici mediante l’effettuazione di una DPIA (Data Protection Impact Assessment). La DPIA deve tener conto del rischio di partenza e di quello mitigato in seguito all’applicazione delle misure di sicurezza (es. autenticazioni complesse, ricorso a crittografia e pseudonimizzazione etc.).

Punto 5: Mitigation Plan

Quando dalle valutazioni precedenti emergano dei rischi medi o addirittura alti, è necessario porre in essere dei piani di mitigazione per riportarli a livelli accettabili.

Il Mitigation Plan consiste nell’introduzione di misure di sicurezza, non necessariamente di natura informatica. Anche misure di tipo organizzativo oppure l’implementazione dei requisiti di trasparenza verso i clienti possono rappresentare strumenti di mitigazione del rischio.

Per attuare un Mitigation Plan efficace possiamo trarre spunto dai controlli suggeriti dalle norme ISO 27000 in materia di sicurezza delle informazioni.

Punto 6: redazione del registro dei trattamenti

Con le informazioni ricavate sopra, è possibile redigere un registro dei trattamenti mediante un foglio excel oppure ricorrendo ad uno dei numerosi software disponibili sul mercato. Il registro dei trattamenti non è obbligatorio per le imprese con meno di 250 dipendenti e che non trattano dati personali con rischio elevato (art. 30 RGPD). Tuttavia, la redazione dei registri è consigliata in tutti i casi, poiché si tratta di documenti indispensabili per tenere sotto controllo i trattamenti e facilitano notevolmente le operazioni in caso di controlli. Per di più, mantenere un registro aggiornato è un adempimento semplice ed a basso costo.

Deve essere redatto un registro per i trattamenti svolti in qualità di titolare ed uno, eventuale, per i trattamenti svolti in qualità di responsabile.

Altri registri necessari all’adeguamento sono quello delle violazioni (o Data Breach) e quello relativo alle richieste di esercizio dei diritti da parte dagli interessati.

Punto 7: redazione di politiche e procedure

Per poter dimostrare di essere GDPR Compliant e gestire i dati in sicurezza, efficenza e nel rispetto dei diritti delle persone fisiche, occorre che l’azienda si dia delle regole interne da seguire.

Una delle procedure in assoluto più importanti è quella finalizzata a riconoscere, gestire e notificare i Data Breach. Le violazioni sono infatti eventi all’ordine del giorno ma molto spesso non vengono individuate o riconosciute. La mancata o non tempestiva notifica di un Data Breach può innescare controlli e sanzioni, pertanto è necessario fare molta attenzione a questo punto.

Altre procedure importanti sono quella per la gestione delle richieste degli interessati, quella per l’utilizzo della strumentazione informatica, quella per il trattamento dei dati dei dipendenti, per la navigazione in Internet etc.

La creazione di procedure snelle, chiare ed efficaci è fondamentale per la creazione di un sistema di gestione privacy.

Punto 8: redazione o aggiornamento delle informative privacy

Quelle che fino ad oggi abbiamo per lo più considerato “scartoffie”, ovvero le informative privacy, non sono sparite. La messa a disposizione di informative agli interessati resta uno degli adempimenti fondamentali per soddisfare il requisito della trasparenza ed essere GDPR Compliant.

L’informativa però non dovrebbe mai essere un modulo prestampato, magari scopiazzato o scaricato da Internet. L’informativa deve essere un vestito sartoriale e raggiungere lo scopo di illustrare agli interessati, con parole semplici ed immediate, come vengono trattati i loro dati personali.

Devono essere redatte informative per i clienti, per i fornitori, per i dipendenti e per tutti gli interessati di cui un’organizzazione tratta dati personali in qualità di titolare. Le informative devono poi essere messe a conoscenza degli interessati con modalità adeguate. Un consiglio che fornisco sempre ai miei clienti è quello di dedicare una pagina del proprio sito web alla privacy, inserendo al suo interno anche l’informativa. Questa risulta utile non soltanto a dimostrare di essere GDPR Compliant in caso di controlli ma anche a mostrare ai propri clienti l’importanza che diamo alla sicurezza dei loro dati.

Punto 9: autorizzazioni al personale e formazione

L’impresa è titolare o responsabile del trattamento ma, di fatto, i dati personali vengono poi trattati dai suoi dipendenti. Per questo è fondamentale creare un organigramma privacy ed assegnare ruoli e responsabilità. Ciascun dipendente deve essere autorizzato a trattare solo ed esclusivamente i dati personali necessari a svolgere le sue mansioni, né più né meno. Ogni dipendente deve inoltre essere vincolato ad obblighi di riservatezza e di diligenza nell’esecuzione dei trattamenti.

Anche in questo caso, fermarsi alla consegna ed alla firma di un documento non è sufficiente. É necessario assicurarsi che il dipendente comprenda quali sono i suoi obblighi e li rispetti. A tal fine è indispensabile la formazione. Ciascun membro dell’organizzazione deve essere istruito sui propri obblighi e sulle procedure che l’azienda si è data.

Punto 10: contrattualizzazione dei fornitori

Ultimamente, oltre alle informative le aziende ricevono da firmare i contratti per la designazione dei responsabili esterni del trattamento. Anche in questo caso, spesso l’imprenditore non ha la minima idea di quello che c’è scritto dentro ed invia e firma i contratti soltanto per soddisfare un requisito di legge.

Questo non soltanto è insufficiente per essere GDPR Compliant ma è anche rischioso. Un contratto è sempre fonte di obblighi giuridici e deve essere redatto da persone competenti e con cognizione di causa.

Aldilà della redazione dei contratti, la scelta dei fornitori è fondamentale. Affidarsi ad un fornitore che non ci garantisce sicurezza o trasparenza sulla gestione dei dati, non solo quelli personali, è un rischio enorme. In primo luogo, perchè le responsabilità dei fornitori si riflettono in sanzioni per il titolare del trattamento. In secondo luogo, perché spesso mettiamo nelle mani di un fornitore le sorti stesse delle nostre aziende. Pensiamo ad esempio al fornitore di un software gestionale in Cloud: ci siamo chiesti dove sono i nostri dati e cosa succede se il fornitore stacca la spina?


Si veda anche “Software House e GDPR: Perché è Fondamentale Adeguarsi” e “Privacy in Cloud Computing: Come Proteggere i Dati sulla Nuvola“.


Punto 11: piano di mantenimento e miglioramento

Come anticipato sopra, il GDPR non è qualcosa di cui ci si libera in fretta con una serie di adempimenti formali. Per continuare ad essere GDPR Compliant è richiesto un lavoro costante nel tempo, di aggiornamento e miglioramento continui. Se siamo riusciti a mettere sù un sistema di gestione efficente, mantenerlo sarà un gioco da ragazzi. Diversamente, dovremo ripartire ogni volta da zero.

Occorre quindi mantenere aggiornati i registri dei trattamenti, rifare periodicamente l’analisi dei rischi, porre in essere gli adempimenti necessari a gestire i cambiamenti (nuove assunzioni, nuovi fornitori, nuovi servizi etc.).

Diventare GDPR Compliant un passo alla volta

Adempiere a tutti i punti precedenti per una PMI può sembrare un lavoro enorme e costoso. In realtà non c’è da spaventarsi. A differenza della normativa precedente, il GDPR tiene conto delle dimensioni e del budget di ciascuna organizzazione e non richiede a nessuno adempimenti impossibili. L’importante quindi è responsabilizzarsi e darsi di volta in volta degli obiettivi di miglioramento, nei limiti del budget aziendale ed in proporzione al livello di rischio. É evidente che ad un ospedale e ad un’industria tessile non siano richiesti gli stessi sforzi per raggiungere la compliance GDPR. Ad entrambi però è richiesta una presa di coscienza dei propri dati.

A differenza della mera compilazione di “scartoffie”, un lavoro ben fatto porterà ad un effettivo miglioramento nella sicurezza dei dati in generale, non solo di quelli personali, che oggi costituiscono la risorsa più importante per ogni azienda. Un lavoro solo formale si tradurrà in un costo inutile, mentre un lavoro serio potrà rappresentare un investimento, volto a prevenire incidenti ben più dispendiosi (si pensi a quanto può costare una falla nella cybersecurity con perdita o divulgazione dei dati aziendali) se non addirittura ad apportare vantaggi concorrenziali.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Registro dei trattamenti

Il registro dei trattamenti

Il registro dei trattamenti di dati personali è un documento interno all’azienda e costituisce un elemento fondamentale per la compliance al GDPR. Esso consente di avere una fotografia dei trattamenti di dati personali effettuati dall’azienda. Pertanto, esso rappresenta la base di partenza in caso di controlli da parte del Nucleo Privacy della Guardia di Finanza. La sua corretta redazione ed il suo costante aggiornamento sono fondamentali per dimostrare la conformità al GDPR ed il rispetto del principio di accountability.

Cosa si intende per trattamento dati e cosa occorre registrare

Per compilare il registro è necessario innanzi tutti individuare i trattamenti da registrare. Ma cosa di intende per trattamento dati?

L’art. 4 del GDPR definisce il trattamento come ogni operazione o insieme di operazioni compiute su dati personali. Raccogliere il nome di un cliente è un trattamento. Lo sono anche cancellare un numero di telefono o comunicarlo ad un terzo soggetto.

Ovviamente, il GDPR non pretende che ogni singola operazione di trattamento dati venga registrata. È quindi necessario creare delle categorie più o meno ampie da inserire nel nostro registro trattamenti privacy. 

Alcuni esempi pratici di trattamenti di dati personali

Un trattamento effettuato da tutte le aziende, o quasi, è la gestione del personale. Ogni datore di lavoro tratta dati personali dei propri dipendenti, per gestire i contratti; pagare gli stipendi; garantire ferie e permessi; gestire le presenze, assenze per infortuni e malattie etc. Queste attività di trattamento devono essere registrate. Il titolare potrà decidere di raggruppare tutte le attività in un’unica macro-categoria, denominata “gestione del personale”, oppure creare categorie più specifiche, come: pagamento buste paga, gestione delle presenze, formazione del personale, gestione dei contratti, sicurezza sul lavoro, ricerca ed assunzione del personale etc.

Non esistono regole che ci dicano quando è necessario scendere nel dettaglio nella registrazione delle attività di trattamento. La scelta è rimessa al titolare sulla base del principio di accountability e può variare a seconda della complessità dell’azienda. Per alcune piccole imprese, organizzate in modo molto semplice, potrebbe essere sufficiente utilizzare categorie ampie, come: gestione dei clienti, gestione dei fornitori, gestioni del personale etc. Per aziende più strutturate, potrebbe essere necessario entrare più nel dettaglio. 

Personalmente, ritengo che sia controproducente eccedere nel dettaglio, così come rimanere eccessivamente generici. Avere un registro di trattamenti con centinaia di micro-categorie rischia infatti di complicare eccessivamente la sua tenuta ed il suo costante aggiornamento e non risponde all’esigenza del registro, che è quella di consentire un’immediata lettura dei trattamenti di dati effettuata da un’azienda.

Chi è obbligato a redigere un registro dei trattamenti dati

L’art. 30 del GDPR obbliga alla tenuta del registro dei trattamenti soltanto:

  • le imprese con più di 250 dipendenti;
  • le imprese con meno di 250 dipendenti che, in modo non occasionale:
    • effettuino trattamenti che comportano rischi per i diritti e le libertà degli interessati;
    • trattino dati particolari di cui all’art. 9 GDPR o relativi a condanne e reati di cui all’art. 10 GDPR.

Tuttavia, il Considerando 82 del GDPR raccomanda l’adozione del registro a chiunque, per dimostrare la conformità al Regolamento. In mancanza di un registro, è infatti difficile per un’impresa dimostrare di aver mappato i propri dati, effettuato le analisi del rischio e, più in generale, aver preso seriamente l’adeguamento al GDPR. Senza contare che, come accennato sopra, il registro costituisce la base di partenza di ogni controllo privacy.

Alla luce di ciò, l’adozione di un registro dei trattamenti deve considerarsi un’attività fondamentale per il rispetto del principio di accountability ed è quindi fortemente consigliato a chiunque. Ovviamente, le imprese più piccole ed a minor rischio privacy potranno adottare un registro più semplice rispetto ad aziende più strutturate o che trattano dati ad alto rischio.

La mancata tenuta del registro potrebbe comportare l’irrogazione di sanzioni anche per le aziende non obbligate, seppur in modo indiretto per mancato rispetto del principio di accountability.

Cosa deve contenere il registro dei trattamenti del titolare

Fino ad ora abbiamo parlato genericamente di registro dei trattamenti. L’art. 30 del GDPR però distingue il registro del titolare ed il registro del responsabile del trattamento. Ovviamente, chi non svolge l’attività di responsabile esterno del trattamento, potrà limitarsi a tenere un solo registro.

Il registro del titolare deve contenere:

  1. denominazione e  dati di contatto del titolare del trattamento;
  2. i dati dei contitolari del trattamento, se presenti;
  3. i dati del rappresentante del titolare del trattamento, se presente;
  4. i riferimenti del DPO, se presente;
  5. le finalità del trattamento;
  6. una descrizione delle categorie di interessati (es. clienti, fornitori, dipendenti, utenti etc.);
  7. una descrizione delle categorie di dati personali (es. dati anagrafici, dati di contatto, dati sanitari, immagini etc.);
  8. le categorie di destinatari a cui i dati personali vengono comunicati;
  9. i trasferimenti di dati verso paesi terzi (compresa l’identificazione del paese) od organizzazioni internazionali e le garanzie che consentono il trasferimento;
  10. i termini o i criteri adottati per la cancellazione dei dati;
  11. se possibile, una descrizione delle misure di sicurezza tecniche e organizzative adottate.

Oltre alle suddette informazioni obbligatorie, in occasione dei controlli viene richiesta anche l’indicazione del livello di rischio assegnato a ciascun trattamento. Ciò consente al titolare di dimostrare di aver effettuato l’analisi del rischio richiesta dalla normativa.

Cosa deve contenere il registro dei trattamenti del responsabile

Le imprese che trattano dati personali in qualità di responsabili del trattamento, dovranno tenere un secondo registro. Ad esempio, una software house che fornisce ai propri clienti servizi in Cloud Computing dovrà tenere un registro a parte per queste attività di trattamento.+

Software house e GDPR: perchè è fondamentale adeguarsi

Software house e GDPR: consigli e adempimenti Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente…0 likesRead more

A differenza del registro del titolare, il registro del responsabile non dovrà contenere alcune delle informazioni che sono riservate al titolare, come ad esempio il riferimento alle finalità e alle basi giuridiche dei trattamenti.

Il registro del responsabile invece dovrà contenere i riferimenti dei titolari dei trattamenti per cui svolge l’attività. Questo adempimento diventa particolarmente difficile per quelle imprese che, come le software house o gli hosting provider, sono responsabili del trattamento per centinaia, a volte migliaia o centinaia di migliaia di clienti. In questi casi è consentito rinviare a delle liste esterne per individuare i titolari del trattamento.

Modello di registro dei trattamenti: dove trovarlo

Il registro deve essere tenuto in forma scritta, anche in formato elettronico. In commercio esistono numerosi software che consentono la tenuta del registro in formato digitale, utilizzati per lo più da consulenti o professionisti, in quanto richiedono una buona conoscenza della normativa.

I registri possono essere più o meno semplici e possono contenere anche maggiori informazioni rispetto a quelle obbligatorie prescritte dall’art. 30 del GDPR.

Nei casi più semplici, i registri possono essere tenuti anche mediante un semplice foglio excel. A tal fine, il Garante Privacy ha fornito un esempio di registro dei trattamenti al seguente link: Modello di registro semplificato delle attività di trattamento del titolare per PMI.

Conclusioni

La corretta tenuta di un registro dei trattamenti è un passo fondamentale per qualsiasi impresa, grande o piccola, che voglia raggiungere la compliance al GDPR.

Il registro non deve essere redatto e messo in un cassetto per essere tirato fuori solo in occasione dei controlli. Esso è un documento dinamico, che deve essere costantemente aggiornato e, possibilmente, migliorato nel tempo.

La redazione e la tenuta del registro sono attività che richiedono una buona conoscenza della normativa sulla privacy. Le imprese che si sono dotate di un DPO, possono affidare a quest’ultimo la corretta tenuta del registro. Diversamente, le imprese prive di DPO e che non abbiano queste competenze all’interno dell’azienda, potranno rivolgersi ad un consulente esterno.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Accountability gdpr

Accountability: il GDPR spiegato in una parola

Accountability è una parola presa in prestito dal diritto anglosassone, che viene tradotta dal vocabolario come “responsabilità” o “obbligo di rispondere di qualcosa”.

In realtà, ciò non è sufficiente ad esprimere in modo esaustivo il significato di accountability. Si tratta infatti di un concetto estraneo al diritto italiano e per il quale non esiste una traduzione esatta. Sarà quindi necessario continuare ad utilizzare il termine in lingua inglese ed assorbirne il significato. Assimilare il principio di accountability costituisce la chiave di volta per comprendere la rivoluzione operata dal GDPR.

Il GDPR: una rivoluzione che si riassume nel principio di accountability

Negli ultimi due o tre anni, il GDPR è diventato lo spauracchio di molte imprese, le quali, in misura maggiore o minore, si trovano tutte quante a dover trattare dati personali (dei loro clienti, fornitori o anche solo dei loro dipendenti).

Ma per quale motivo il GDPR ha creato e sta tutt’ora creando tutto questo scalpore? Del resto, la normativa sulla privacy e gli obblighi che ne derivano per le imprese non sono certo una novità. Sin dalla direttiva madre 95/46/CE, attuata in Italia con la legge n. 675 del 1996, le imprese italiane ed europee erano tenute a confrontarsi con gli obblighi derivanti dai trattamenti di dati personali. Cos’è quindi che ha attirato tanta attenzione sul GDPR?

Sicuramente la misura delle sanzioni (sino a 20 milioni di Euro o al 4% del fatturato mondiale annuo) hanno rappresentato un campanello di allarme. Non dobbiamo però dimenticare che si tratta soltanto di un aumento dei valori massimi, che dovrebbe preoccupare le multinazionali ed i colossi del web ma non incidere significativamente sulle sanzioni applicate a piccole e medie imprese, che del resto erano salate anche prima del GDPR.

Il GDPR ha introdotto alcune novità significative, quali la nomina in alcuni casi del DPO, il registro dei trattamenti, le notifiche dei data breach, l’obbligo di contrattualizzare i fornitori responsabili dei trattamenti etc. Ma i nuovi adempimenti si bilanciano anche con diverse semplificazioni, come l’abolizione delle notifiche preventive al Garante o dei requisiti minimi di sicurezza di cui all’Allegato B del Codice Privacy.

La vera rivoluzione attuata dal GDPR non sta in questi singoli aspetti normativi ma proprio nel principio di accountability.

Il fallimento dell’approccio formale alla privacy

Il GDPR ha rivoluzionato completamente il modo di approcciarsi alla protezione dei dati personali. La Commissione Europea, preso atto del fallimento dell’approccio formale, che imponeva a tutti indistintamente il rispetto di regole predeterminate e requisiti minimi di sicurezza, ha deciso di adottare un approccio completamente diverso, basato sulla risposta ai rischi concreti. Si tratta di un approccio inedito per il diritto italiano e gli ordinamenti di Civil Law ma noto al diritto anglosassone, dove nasce appunto il concetto di accountability, e già applicato nelle norme volontarie di certificazione, coma la ISO 27001.

L’approccio formale alla privacy si traduceva spesso in una serie di inutili adempimenti burocratici. Fogli su fogli scopiazzati a destra e a manca, pieni di errori e fatti firmare senza che nessuno sapesse realmente che cosa ci fosse scritto. Quante volte ci siamo sentiti dire “firmi quì, quì e quì… non si preoccupi è solo per la privacy!“. Ciò ha contribuito a creare una naturale antipatia per questa norma, vista solo come un appesantimento, che di fatto non apportava miglioramenti per i diritti e le libertà delle persone.

L’introduzione di un approccio basato sul rischio concreto e dell’accountability

Il fallimento dell’approccio formale alla privacy è dovuto dal tentativo di equiparare situazioni capillarmente diverse fra loro, attribuendo a ciascuna i medesimi obblighi. Se è vero infatti che tutte le imprese trattano dati personali, anche soltanto con riferimento ai loro dipendenti, è evidente che i rischi reali che questi trattamenti comportano per le libertà delle persone variano notevolmente da caso a caso e non possono essere trattati ugualmente.

Una piccola impresa informatica, anche con pochi dipendenti, tratta molti più dati e con un rischio molto più elevato rispetto ad una società, anche di notevoli dimensioni, che opera nel campo dell’edilizia oppure nell’industria manifatturiera.+

Software house e GDPR: perchè è fondamentale adeguarsi

Software house e GDPR: consigli e adempimenti Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente…0 likesRead more

Pensiamo invece ai rischi determinati dai trattamenti effettuati da un ospedale o da un laboratorio di analisi. Le conseguenze derivanti dalla perdita di integrità di una cartella clinica, dall’alterazione di un referto medico o da un scambio d’identità possono essere fatali. É quindi evidente che gli obblighi di sicurezza non possano essere gli stessi a cui è soggetto un negozio di elettrodomestici.

Preso atto di queste differenze, cosa poteva fare il legislatore europeo? Come conciliare l’esigenza di avere una normativa uguale per tutti con quella di calibrare gli adempimenti su ogni singolo caso concreto?

La risposta sta proprio nell’adozione di un approccio basato sul rischio e nel principio di accountability.

La responsabilizzazione degli imprenditori

Prima del GDPR, ciascun imprenditore senza distinzioni era tenuto a conformarsi con una serie di adempimenti minimi di sicurezza contenuti nell’Allegato B al Codice Privacy. Ad esempio, occorreva: aggiornare le password ogni 6 o 3 mesi, fare il backup ogni settimana, aggiornare l’antivirus ogni 6 mesi, fare il patching dei software ogni anno o semestralmente etc.

Oggi a qualsiasi informatico si drizzerebbero i capelli sentendo parlare di aggiornamento semestrale dell’antivirus o delle vulnerabilità dei software. Gli aggiornamenti degli antivirus avvengono giornalmente se non addirittura ad ore di distanza. Il patching dei software va fatto appena esce l’aggiornamento, non certo dopo un anno. Lo stesso vale per i back-up settimanali, che esporrebbero le imprese al rischio di perdere il lavoro di un’intera settimana.

Le misure minime di sicurezza, oltre a diventare presto obsolete, assoggettavano agli stessi obblighi ciascuna impresa e ciascun trattamento di dati, indipendentemente dal rischio concreto.

Con il GDPR, le misure minime vengono abolite ed il legislatore adotta un approccio completamente diverso. La responsabilità sulla scelta delle misure da adottare viene ribaltata sull’imprenditore.

In parole povere, è come se la Commissione europea dicesse: caro imprenditore, io non sono in grado di dirti quali sono le misure di sicurezza giuste per te. Sei tu a dover fare un’analisi dei rischi privacy della tua attività e, in base al risultato, adottare le misure di sicurezza che ritieni adeguate per ridurre al minimo questi rischi.

Questo è il primo dei due punti chiave del concetto di accountability e può sintetizzarsi con il termine responsabilizzazione. Ma non è finita quì.

La capacità di spiegazione e dimostrazione

La responsabilizzazione dell’imprenditore è solo il primo step del principio di accountability. Se ci fermassimo quì, l’imprenditore italiano, che non ha familiarità con questo approccio, potrebbe essere tentato di ragionare così: “se sono io a decidere cosa è adeguato per la mia azienda, allora significa che posso fare come mi pare e che nessuno mi può sanzionare per le scelte fatte“.

Così sarebbe fin troppo facile sottrarsi agli adempimenti. L’accountability aggiunge alla responsabilizzazione anche la capacità di dimostrazione. In caso di controlli, l’imprenditore non potrà limitarsi a dire “ho adottato solo queste misure perché le ritengo adeguate“. Piuttosto, dovrà essere in grado di dimostrare la fondatezza delle sue scelte e documentarle.

In particolare, ciascun imprenditore dovrà dimostrare di aver individuato i trattamenti di dati personali effettuati ed aver svolto un’analisi dei rischi privacy. Infine, dovrà spiegare in modo convincente le ragioni per cui ha ritenuto di adottare determinate misure di sicurezza e non altre come risposta adeguata al rischio.

Per assurdo, un imprenditore potrebbe anche decidere di non fare niente per adeguarsi al GDPR, purché riesca a dimostrare la fondatezza della propria scelta. Ciò è praticamente impossibile, poiché ciascuna impresa tratta dati personali che comportano anche soltanto un minimo rischio privacy.

Il vero significato di accountability

Il significato di accountability può quindi sintetizzarsi con la somma di due concetti: responsabilizzazione e capacità di dimostrazione.

Si tratta di un principio non semplice da assimilare per chi, come noi italiani, si trova in un ordinamento giuridico di Civil Law. L’applicazione concreta del principio di accountability potrebbe infatti creare problemi di certezza del diritto, rendendo sfumato e sottoposto a valutazioni discrezionali il confine fra ciò che è GDPR compliant e ciò che non lo è.

Indipendentemente dai dubbi di compatibilità del principio di accountability con il nostro ordinamento giuridico, personalmente ritengo che questo sia un approccio corretto per riportare la privacy sul piano reale. L’adeguamento al GDPR non può infatti limitarsi alla compilazione di inutili documenti ma deve portare dei vantaggi concreti in termini di sicurezza delle aziende, non solo per i dati personali ma per tutte le informazioni.+

ISO 27001 e GDPR per la Sicurezza dei Dati Aziendali

ISO 27001 e GDPR: come creare un sistema di gestione integrato per la sicurezza dei dati Lo standard ISO.

L’approccio formale basato su misure minime di sicurezza e check list di adempimenti obbligatori per tutti non è infatti adeguato a rispondere alla velocità con cui si evolvono i rischi informatici e soprattutto alle capillari differenze dei vari rischi privacy.

L’accountability nella pratica

Una volta compreso il principio di accountability, cosa occorre fare in pratica per dargli attuazione?

Il primo passo è quello di mappare i trattamenti di dati che l’impresa effettua e redigere un registro. Se è vero infatti che il registro dei trattamenti è obbligatorio solo in determinati casi, è comunque consigliabile adottarlo sempre. Ciò in quanto si tratta di un adempimento poco oneroso e che permette di fare chiarezza sui trattamenti effettuati da un’impresa. Il registro è quindi il punto di partenza per poter sviluppare un sistema di gestione della privacy. Inoltre, si tratta anche del punto di partenza in caso di controlli da parte delle autorità competenti.

Per ciascun trattamento individuato nel registro occorre svolgere un’analisi del rischio. Il metodo più comunemente utilizzato è quello proposto da ENISA ma non è obbligatorio seguire uno schema predefinito. Sarà sufficiente ragionare con la testa ed ipotizzare quali possano essere i rischi privacy legati ad un determinato trattamento e quale il loro impatto. Cosa potrebbe succedere se certi dati venissero divulgati? Quale danno potrebbe verificarsi se i dati venissero alterati? E se invece andassero persi o fossero resi indisponibili? Che probabilità esiste che l’evento si verifichi?

Una volta individuati i trattamenti ed attribuito a ciascuno un valore di rischio che tenga in considerazione sia l’impatto che la probabilità che l’evento si verifichi, occorre progettare delle misure di reazione per abbassare tale rischio. É in questa fase che trova applicazione il principio di accountability. L’imprenditore deve decidere il budget da stanziare e adottare delle misure adeguate ad aumentare il livello di sicurezza della propria impresa.+

GDPR Compliant in 11 Mosse per Piccole e Medie Imprese

GDPR Compliant in 11 mosse per PMI Il General Data Protection Regulation GDPR (in italiano RGPD) è efficace ormai…

Trasformare la privacy da inutile spreco di risorse ad investimento

Se l’accountability viene applicata correttamente e non soltanto per superare indenni dei controlli ed evitare le sanzioni, la compliance al GDPR non sarà più un inutile adempimento burocratico. Piuttosto, diventerà un modo per prendere coscienza degli enormi rischi, informatici ma non solo, a cui le nostre imprese sono esposte ogni giorno e mitigarli.

L’accountability può fare la differenza fra un inutile spreco di tempo e risorse ed un investimento remunerativo in termini di sicurezza ed efficienza nella gestione dei dati, non soltanto personali.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Software house e GDPR

Software house e GDPR: consigli e adempimenti

Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente l’approccio alla privacy. Non c’è dubbio che questa nuova normativa interessi chiunque, perché è impossibile svolgere attività d’impresa senza trattare dati personali. Ciò non toglie che con l’avvicinarsi del 25 Maggio 2018 si siano scatenate delle reazioni spesso ingiustificate. Non tutte le imprese infatti trattano i dati allo stesso modo e sono poche quelle che dovranno operare stravolgimenti per adattarsi al GDPR. Fra di esse ci sono senza dubbio le software house.

Quando cerco di spiegare ad una software house l’importanza di adeguarsi al GDPR, dico sempre che la paura di subire sanzioni deve essere l’ultima delle motivazioni. A sanzionare una software house che decida di ignorare il GDPR non ci penserà il Garante ma il mercato stesso. Al contrario, una software house che dimostri di trattare i dati personali in modo adeguato potrà ottenere un incredibile vantaggio concorrenziale. Vediamo perché.

La software house come responsabile esterno del trattamento

In materia di privacy si distinguono due ruoli fondamentali: il titolare del trattamento ed il responsabile del trattamento. Titolare è il soggetto che decide le finalità e le modalità del trattamento. Diversamente, il responsabile è quel soggetto esterno che tratta i dati per conto del titolare, seguendone le istruzioni.

Solitamente, la software house assume il ruolo di responsabile esterno del trattamento dati. Conformemente all’art. 28 Reg. UE 2016/679, dovrà essere designata ed istruita mediante un contratto scritto. Ciò vale senza alcun dubbio quando viene fornito un software in modalità Cloud SaaS (si veda “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“). In questo caso, il titolare esternalizza il trattamento automatizzato dei propri dati verso la software house e pertanto non può esimersi dal nominarla come responsabile esterno, né quest’ultima può esimersi dal farsi nominare. Anche nei casi in cui viene fornita una licenza d’uso in modalità “on premise”, la software house tratta comunque i dati del titolare. Si pensi alla fornitura dei servizi di assistenza, aggiornamento e manutenzione del software, che possono comportare accesso ai dati anche da remoto (tramite VPN o teamviewer).

In tutti questi casi la software house deve fare attenzione a contrattualizzare in maniera adeguata le modalità di trattamento dei dati personali.

Il GDPR come vantaggio concorrenziale per una software house

Principio fondamentale del GDPR è quello di responsabilizzazione (accountability). Il titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati. Egli deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni.

Nel momento in cui un titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali. Non soltanto, il titolare deve anche svolgere degli audit periodici, per verificare che la software house tratti i dati in maniera conforme al GDPR ed a quanto dichiarato nel contratto di designazione a responsabile esterno. Se non lo fa, il titolare diviene direttamente responsabile per culpa in eligendo ed in vigilando.

Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR. Contrariamente, una software house che non si adegui alle nuove normative, rischia di non poter più essere scelta dai propri clienti e partner commerciali.

L’importanza delle certificazioni e dei codici di condotta per una software house  

Come spiegato sopra, nel momento in cui un titolare sceglie una software house, deve effettuare una due diligence per assicurarsi che tratti i dati in maniera conforme al GDPR. Allo stesso modo, dovrebbe effettuare su questa società ispezioni ed audit periodici, per verificare che la conformità sia mantenuta nel tempo.

Se questo è vero in teoria, nella pratica ciò è spesso difficile da attuare. Gli imprenditori hanno altro a cui pensare. Molti di loro hanno già problemi ad adeguare la propria azienda alla nuova normativa, figuriamoci se trovano il tempo e le risorse per verificare che anche i loro responsabili esterni si siano adeguati.

Una soluzione a questo problema può essere data dalle certificazioni e dai codici di condotta, di cui agli artt. 40 e ss. Reg. 2016/679Il fatto che una software house abbia ottenuto una certificazione privacy oppure aderisca ad un codice di condotta, rappresenta di per sé una grossa garanzia di adeguatezza per il titolare che la sceglie. Ad oggi non ci sono ancora certificazioni o codici di condotta ufficiali. Tuttavia, non appena usciranno, potranno rappresentare un sicuro vantaggio concorrenziale per le software house che li adotteranno.

Per arrivare pronti al momento in cui usciranno le prime certificazioni ed i primi codici di condotta, una software house deve iniziare a lavorare sin da adesso. Diversamente, rischia di non restare al passo con il mercato.

Pensare al GDPR nello sviluppo dei software: privacy by design e by default

Oltre all’accountability, principi fondamentali del GDPR sono quelli di privacy by design e privacy by default. Nel mondo del software, privacy by design significa che bisogna iniziare a porsi il problema del trattamento dei dati personali sin dalla fase di progettazione. Privacy by default significa che deve essere previsto di default il maggior livello di protezione possibile, senza costringere l’utente a comportamenti attivi per innalzarlo.

Un software, soprattutto un gestionale, che si conformi a questi principi, avrà anch’esso un vantaggio incredibile sulla concorrenza. Infatti, la maggior parte dei dati aziendali vengono trattati mediante i software gestionali. Un software che preveda misure quali la pseudonimizzazione, la crittografia, la registrazione dei consensi, la registrazione dei log etc. facilita di molto il compito dell’imprenditore che intenda conformarsi al GDPR. Di conseguenza, nella scelta di un software gestionale, l’aspetto privacy giocherà un ruolo fondamentale.


Per conoscere le modalità per prevenire e gestire i data breach potete leggere l’articolo “Violazioni della privacy: come gestire un data breach“.


Conclusioni

Il GDPR e la privacy in generale sono visti dai più come un costo ed una scocciatura. Se c’è però una categoria che deve guardare al GDPR come ad un’opportunità di crescita è proprio quella delle software house. Coloro che hanno già iniziato a lavorare sulla privacy, nominando un DPO o affidandosi ad un professionista competente, potranno presto raccoglierne i frutti. Per le software house che invece trascureranno la materia del trattamento dei dati personali, le sanzioni del Garante saranno un rischio, quelle del mercato una certezza.

Amministratore di Sistema

Amministratore di sistema

L’amministratore di sistema è la figura professionale che si occupa di gestire e manutenere il sistema informatico di un’impresa. Ai fini della normativa privacy, vengono considerati amministratori di sistema anche coloro che gestiscono banche dati, reti informatiche, apparati di sicurezza o software complessi.

Non deve stupire il fatto che la figura dell’amministratore di sistema sia centrale per la tutela della privacy. Infatti, questo soggetto ha un accesso privilegiato a tutti i dati personali trattati dall’impresa. L’amministratore di sistema si occupa inoltre delle misure di sicurezza, quali back-up, disaster ricovery, installazione ed aggiornamento di antivirus e firewall, gestione delle credenziali e dei sistemi di autenticazione ed autorizzazione.

Per questi motivi, un imprenditore deve scegliere con estrema cura l’amministratore di sistema ed applicare una serie di cautele affinché la sua attività sia controllata. Il Garante per la protezione dei dati personali si è occupato del ruolo dell’amministratore di sistema nel provvedimento del 27 Novembre 2008, modificato il 25 Giugno 2009.

Quando si ha un amministratore di sistema?

L’amministratore di sistema può essere un soggetto sia interno all’azienda, che esterno.

Le società più strutturate che si avvalgono di sistemi informatici complessi spesso hanno fra il loro personale un responsabile IT. Diversamente, piccole e medie imprese si rivolgono più spesso a tecnici esterni per manutenere i propri sistemi informatici.

Non tutti i tecnici informatici sono però amministratori di sistema. Non rientrano in questa definizione quei soggetti che solo occasionalmente operano su un sistema informatico per manutenzione oppure per risolvere un guasto. Diversamente, possono essere amministratori di sistema coloro che sono in grado di accedere in ogni momento, anche da remoto, ad un sistema informatico. Anche in questi casi, la nomina come amministratore di sistema non è una conseguenza automatica. Essa deve essere valutata caso per caso a seconda dei compiti e delle autorizzazioni attribuite.

La nomina di un amministratore di sistema può infatti essere evitata per quelle imprese che si limitano a trattare dati personali comuni per ordinarie finalità amministrativo-contabili. In sostanza, non ne hanno bisogno le imprese che non trattano dati sensibili, giudiziari o di traffico telefonico ma si limitano a trattamenti ordinari ed a basso rischio, quali la gestione della contabilità, dei dipendenti, acquisto di materiali di consumo, gestione del parco auto etc.

Obblighi con riferimento agli amministratori di sistema

L’imprenditore che decida di nominare un amministratore di sistema ha innanzi tutto l’obbligo di valutarne preventivamente l’esperienza, la capacità e l’affidabilità. Il ruolo deve inoltre essere affidato ad una persona ben individuata e non ad una società, i cui riferimenti devono essere riportati in un documento interno da mostrare al Garante in caso di sopralluogo. Qualora l’amministratore di sistema tratti anche i dati personali dei dipendenti di una società, questi ultimi devono essere messi a conoscenza della sua identità.

L’attività dell’amministratore di sistema deve essere verificata con cadenza almeno annuale dal titolare del trattamento. Affinché ciò sia possibile, i suoi accessi al sistema informatico (access log) devono essere registrati e conservati per almeno sei mesi. Le registrazioni devono essere complete, inalterabili e verificabili.

Verifica dell’attività dell’amministratore di sistema

La verifica annuale dell’attività dell’amministratore di sistema si esaurisce sostanzialmente nel controllo degli access log. Gli eventi generati dai sistemi di autenticazione devono contenere l’username utilizzato, data, ora e luogo dell’accesso, descrizione dell’evento (software e dispositivo usati, errori, se si tratta di logs-in o logs-out etc.). I sistemi più complessi permettono altresì di registrare le azioni eseguite sui dati. In base al principio di accountability, divenuto centrale con il GDPR, l’imprenditore dovrà verificare le attività dell’amministratore di sistema con un livello di profondità commisurato al rischio.

La contrattualizzazione dell’amministratore di sistema

Quando l’amministratore di sistema è un dipendente della società, egli non sarà altro che un incaricato del trattamento dotato di particolari autorizzazioni. Sebbene la nomina scritta degli incaricati del trattamento non sia obbligatoria per il GDPR, essa è fortemente consigliata in considerazione del principio dell’accountability, nonché tuttora richiesta da numerosi provvedimenti del Garante.

Diversamente, quando il ruolo di amministratore di sistema viene affidato in outsourcing ad un soggetto esterno, questo dovrà considerarsi altresì un responsabile del trattamento. In considerazione di ciò, il titolare dovrà vincolare l’amministratore di sistema con un contratto scritto, contenente tutti i requisiti richiesti dall’art. 28 Reg. UE 2016/679.

Conclusioni

Nell’articolo “Software house e GDPR: perché è fondamentale adeguarsi” ho sottolineato l’importanza rivestita dalla normativa sulla privacy per quelle imprese che si occupano di informatica. In particolare, mi riferisco a tutte quelle società che si occupano della manutenzione dei sistemi hardware e software dei loro clienti.

L’importanza di adeguarsi al GDPR per questi soggetti non è data soltanto dalla necessità di evitare le sanzioni ma anche e soprattutto da quella di restare competitivi sul mercato. Infatti, ogni volta in cui un titolare del trattamento decida di affidare in outsourcing la manutenzione dei propri sistemi informatici, deve assicurarsi che il soggetto incaricato garantisca un’adeguata protezione ai suoi dati personali. Ciò vale a maggior ragione per l’amministratore di sistema. Egli ha in mano tutti i dati personali dell’impresa, pertanto i titolari non potranno rivolgersi a soggetti che non rispettino le norme sulla privacy o non forniscano adeguate garanzie di sicurezza.

Quest’opera è distribuita da ipRights con Licenza Creative Commons Attribuzione 3.0 Italia

Violazioni della privacy

Le violazioni della privacy dopo il GDPR: come gestire un data breach

Dal 25 Maggio 2018, il  nuovo regolamento europeo in materia di trattamento di dati personali n. 2016/679 (GDPR) obbliga tutte le imprese a gestire le violazioni della privacy.

Il Considerando n. 85 del GDPR ci ricorda che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone. Le violazioni della privacy possono tradursi in discriminazioni, furti di identità, perdite economiche, pregiudizi alla reputazione etc. Pertanto, il legislatore europeo ha voluto obbligare tutte le imprese che trattano dati personali a dotarsi di particolari procedure in caso di data breach.

Cos’è un data breach

Un data breach è una violazione dei dati personali trattati da un’impresa. Può definirsi come una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali.

La distruzione del dato si ha quando questo viene cancellato in modo irreversibile. Si parla invece di perdita quando il dato fuoriesce dalla sfera di controllo del suo legittimo detentore. L’accesso non autorizzato può riguardare un sistema informatico (hackeraggio) o un database fisico (sottrazione di fascicoli personali). La rivelazione non autorizzata si verifica quando un soggetto avente un obbligo di riservatezza, ad esempio un dipendente, trasmette l’informazione a terzi non autorizzati. Infine, rappresenta un data breach anche la modifica non autorizzata di un dato. Per comprenderne la pericolosità, si pensi alle conseguenze che può portare sulle cure di un paziente la modifica di un referto medico.

Le violazioni della privacy più comuni

Un data breach può manifestarsi in diverse forme, di cui la più comune è probabilmente quella dell’attacco hacker. Ogni volta in cui il nostro sistema informatico viene colpito da un virus o semplicemente subisce un accesso non autorizzato siamo in presenza di un data breach. In questi casi, a meno che non siano state adottate misure preventive idonee, non sempre siamo in grado di stabilire se i dati siano stati sottratti o compromessi. Lo stesso ragionamento vale anche in caso di accesso non autorizzato ad un database fisico. Si pensi ad un furto in azienda in cui venga compromesso l’archivio.

Un data breach può derivare anche dallo smarrimento o dal furto di un dispositivo in cui sono contenuti dati personali, come ad esempio uno smartphone aziendale o una pen drive.

Le violazioni della privacy più comuni sono quelle derivanti dall’errore umano. Si pensi alla consegna o alla comunicazione di documenti contenenti dati personali alla persona sbagliata. Più gravi sono i casi di errata pubblicazione dei dati, quando questi vengono comunicati con strumenti a larga diffusione, ad esempio con un invio massivo di email o tramite la pubblicazione sul web.

Infine, una delle ipotesi più comuni e pericolose di data breach è quella del c.d. insider misuse. Si tratta del caso in cui una persona interna all’azienda sottrae dati personali abusando dei suoi privilegi e delle sue autorizzazioni. Si pensi al caso del dipendente che, licenziatosi dall’impresa, si porti via il database con le informazioni riservate dei clienti.

Quando è necessario segnalare un data breach al Garante

A partire dal 25 Maggio 2018, il titolare deve notificare le violazioni della privacy all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

L’obbligo di notifica dei data breach non è una novità assoluta per il nostro ordinamento. Il Garante Italiano aveva infatti già previsto quest’obbligo per gli operatori telefonici ed per le violazioni dei dossier sanitari elettronici. Peraltro, in questi casi specifici i termini per effettuare la notifica sono più ristretti, rispettivamente 24 e 48 ore.

Nel caso in cui i suddetti termini vengano superati, il titolare dovrà essere in grado di giustificare il ritardo.

L’obbligo di notifica dei data breach però non sussiste in tutti i casi. Il titolare non dovrà notificare la violazione quando è in grado di dimostrare che questa non presenta un rischio per i diritti e le libertà delle persone fisiche. Ad esempio, se il titolare aveva protetto i dati mediante crittografia e conservato adeguatamente la chiave di decriptazione, il data breach potrà considerarsi inoffensivo.

Il contenuto della notifica al Garante

La comunicazione del data breach al Garante dovrà contenere almeno i seguenti elementi:

  1. una descrizione della natura della violazione, dei dati compromessi e del numero approssimativo degli interessati;
  2. il nome ed i dati di contatto del DPO o di un altro soggetto con cui interfacciarsi;
  3. la descrizione della possibili conseguenze;
  4. la descrizione delle misure adottate per porre rimedio alla violazione della privacy o attenuarne gli effetti.

Quando è necessario notificare un data breach agli interessati

Quando la violazione della privacy comporta un rischio elevato per i diritti e le libertà degli interessati, il titolare dovrà comunicare il data breach anche a loro. Ciò deve essere fatto al fine di consentirgli di prendere le precauzioni necessarie per evitare o limitare i danni.

Ad esempio, se vengono violate le password degli utenti di un sito web contenente dati personali, il titolare dovrà notificare il data breach al Garante ed alle persone interessate, consigliando di modificare immediatamente le password.

La comunicazione ai soggetti interessati può essere evitata in tre casi:

  1. quando il titolare abbia preventivamente adottato misure adeguate di protezione dei dati (ad es. la cifratura);
  2. nei casi in cui il titolare abbia successivamente adottato rimedi adeguati a scongiurare un rischio elevato;
  3. quando la comunicazione richiede sforzi sproporzionati. In questi casi, il titolare potrà ricorrere a comunicazioni pubbliche, mediante comunicati web o pubblicazioni.

La registrazione dei data breach

Il titolare del trattamento deve documentare le violazioni della privacy. A tal fine, occorre predisporre un registro dei data breach, dove annotare la descrizione della violazione, le sue conseguenze ed i provvedimenti adottati per porvi rimedio.

L’annotazione dei data breach è necessaria affinché il titolare possa imparare dai propri errori. Infatti, il miglior modo per mettere in piedi un efficace sistema di gestione privacy è quello di studiare le violazioni, accertarne le cause e porre in essere misure adeguate ad evitare che si ripetano.

Adottare una procedura interna per la gestione dei data breach

Le procedure da seguire in caso di data breach ben si conciliano con il principio di accountability (responsabilizzazione), su cui si fonda l’intero impianto del GDPR. All’imprenditore viene chiesto di monitorare i propri errori, attivarsi immediatamente per porvi rimedio, imparare dai propri sbagli ed infine documentare tutto.

L’unico modo per essere in grado di rispettare le norme imposte dal GDPR in materia di data breach è quello di dotarsi di una procedura interna. Ogni impresa deve istruire il proprio personale innanzi tutto a riconoscere i data breach. Dopodiché, il titolare deve fare in modo che la violazione non venga ignorata, bensì comunicata immediatamente al DPO o ad un diverso soggetto responsabile. Infine, è indispensabile dotarsi di strumenti che permettano di individuare i data breach, ad esempio utilizzando un sistema di monitoraggio dei log al sistema informatico, nominando un amministratore di sistema etc.

Ancora più importante è non aspettare che il data breach si verifichi, bensì agire in via preventiva. A tal fine è necessario effettuare un’analisi dei rischi e predisporre misure adeguate a prevenirli, come ad esempio la crittografia, l’adozione di antivirus e firewall, la modifica periodica delle password etc.

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

GDPR

Il GDPR (General Data Protection Regulation)

GDPR… Ormai se ne sente parlare persino al bar. Su internet si trovano siti web con il conto alla rovescia, quasi si trattasse di un nuovo Millennium Bug o di una nuova scadenza sul calendario Maya.

25 Maggio 2018. E’ questa la fatidica data in cui il nuovo Regolamento Europeo in materia di privacy è diventato obbligatorio per tutti gli Stati Membri.

Sanzioni fino a 20 milioni di euro o fino al 4% del fatturato per chi non lo rispetta. Si tratta di numeri capaci di mettere in ginocchio anche i più grossi colossi mondiali. Il messaggio che la Commissione Europea ha voluto dare è dunque chiaro: con i dati non si scherza. Non si tratta di una normativa da dimenticare in qualche cassetto ma da tenere bene in vista sulla scrivania.

In questo articolo tratterò gli aspetti principali del GDPR. Nelle settimane e nei mesi successivi tornerò più volte sull’argomento per affrontare questioni più specifiche. L’obiettivo è quello di generare consapevolezza su quella che è la materia della protezione dei dati ed provvedere all’adeguamento al più presto.

GDPR: onere od opportunità?

Diciamoci la verità. Sino ad oggi la normativa sulla privacy è stata vista dai più come una inutile rottura di scatole. Informative e scartoffie da firmare che nessuno ha mai letto; notificazioni al Garante; banner per i cookie; ostacoli in ogni progetto. Tutto questo per cosa? La nostra casella e-mail è invasa da spam; il telefono continua a squillare per offerte che non vogliamo; le pubblicità su Internet riflettono i nostri gusti personali e le nostre foto più imbarazzanti si trovano su Facebook alla mercé di chiunque.

Sino ad oggi, la domanda che molti si ponevano per verificare di essere in regola con la privacy era: hai fatto firmare l’informativa? Una volta eseguito questo automatico adempimento il più era fatto. Ma facciamoci alcune domande: in quante aziende le password dei computer dei dipendenti si trovano su un post-it attaccato allo schermo? In quanti studi legali i fascicoli con i dati sensibili dei clienti si trovano in bella vista sui tavoli, accessibili anche all’addetto alle pulizie? In una delle mie esperienze lavorative, non nego di essermi imbattuto una volta in un documento stampato su carta riciclata ove sul retro vi erano parti di una cartella clinica.

Il GDPR vuole cambiare tutto questo. L’informativa firmata non salva più nessuno se il dato personale non è trattato con il rispetto che merita. Meno scartoffie inutili e più concretezza dunque. I dati personali vanno protetti e bisogna farlo nel miglior modo possibile.

E’ vero. Le sanzioni fanno paura e ci sarà molto da fare. Ma siamo sicuri che il GDPR non rappresenti un’opportunità per le aziende? Essere “privacy compliant” può diventare per un’azienda, per uno studio professionale, per un software etc. un valore aggiunto. Aldilà dei singoli adempimenti, sono dunque la mentalità e l’approccio che abbiamo nei confronti dei dati personali che devono cambiare radicalmente.

Il GDPR chi interessa? … Tutti!

Per capire perché il GDPR non deve essere una preoccupazione esclusiva delle grandi aziende ma interessa tutti indistintamente, occorre comprendere l’oggetto della sua protezione: il dato personale.

Dato personale è qualsiasi informazione relativa ad una persona fisica che sia identificata o identificabile anche indirettamente[1].

Da questa definizione si evince che i dati delle persone giuridiche, quali società o associazioni, non rientrano nella normativa. Poco cambia in realtà, poiché le persone giuridiche sono formate da persone fisiche, quali i dipendenti, gli amministratori etc., le cui informazioni sono dati personali.

E’ dato personale qualsiasi informazione, purché il soggetto a cui si riferisce sia identificabile anche in via indiretta. Ad esempio, è dato personale l’indirizzo IP dinamico, quando sia possibile risalire al soggetto che lo sta usando tramite informazioni aggiuntive in possesso dell’Access Provider [2].

A titolo esemplificativo. Se invio ad un mio amico un SMS di questo tenore: “stasera qui a Firenze è prevista pioggia, credo che resterò in casa a vedermi la partita della Fiorentina su Sky“, sto trasmettendo molti dati personali. Da questo messaggio si ottengono le seguenti informazioni: vivo a Firenze; sono tifoso della Fiorentina; posseggo un televisore; sono abbonato Sky; questa sera mi troverò in casa. L’amico che riceve il mio messaggio non dovrà certo farmi firmare un’informativa privacy, ma se questi dati finissero in mano ad una società di telecomunicazioni, sarebbero di per sé sufficienti a profilarmi per finalità di marketing.

Ecco dunque che, quando otteniamo informazioni di questo tipo al di fuori della nostra vita privata, dovremo sempre porci il problema di come le stiamo trattando.

Che cosa si intende per trattamento?

Per trattamento si intende qualunque operazione concernente: la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnesione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. In poche parole… tutto!

Cosa cambia con il GDPR?

Le numerose novità che interessano il nuovo Regolamento Europeo in materia di Privacy possono essere riassunte in 5 punti fondamentali:

  • il principio dell’Accountability;
  • Privacy by Design e by Default;
  • la Data Protection Impact Assessment;
  • la figura del DPO (Data Protection Officer);
  • la Data Breach Notification.

Il principio dell’Accountability (art. 5, comma 2 Reg. UE 2016/679)

Accountability si traduce in italiano con principio di responsabilizzazione del titolare del trattamento. Più corretto sarebbe invece parlare di responsabilizzazione e capacità di dimostrazione.

Il trattamento dei dati personali viene considerato attività pericolosa ai sensi dell’art. 2050 c.c.[3]. Il titolare del trattamento ne è responsabile e deve essere in grado di dimostrare di aver fatto tutto il possibile per trattare il dato in conformità con il Regolamento. L’imprenditore deve prendere consapevolezza dei dati trattati e dei rischi. In conseguenza di ciò, deve decidere quali sono le misure di sicurezze adeguate per la sua azienda.

Il titolare dovrà dotarsi di un modello di gestione privacy che sia in grado di mostrare come tratta i dati personali in conformità al Regolamento. Esso potrà essere usato all’occorrenza in caso di verifica da parte dell’Autorità Garante.

Privacy by Design e by Default (art. 25 Reg. UE 2016/679)

Trattasi del principio in base al quale la privacy va tenuta in considerazione ed applicata sin dalla fase di progettazione di qualsiasi attività.

In parole semplici, ogniqualvolta si progetti una nuova attività che possa comportare l’acquisizione ed il trattamento di dati personali, bisogna tenere in considerazione la privacy. Occorrerà valutare fin dalla genesi quelli che saranno i dati raccolti, come verranno trattati, quali saranno i rischi e come porvi rimedio in conformità col Regolamento.

La Data Protection Impact Assessment (DPIA) (art. 35 Reg. UE 2016/679)

Diretta conseguenza dei suddetti principi di Accountability e Privacy by Design e by Default è la necessità di effettuare una valutazione di impatto sulla protezione dei dati.

Ogniqualvolta si dà inizio ad un nuovo trattamento, è necessario preventivare l’impatto che ciò potrà avere sui dati personali ed i rischi che potrebbero verificarsi. Conseguentemente dovrà essere adottato un modello di gestione della privacy che elimini o riduca il più possibile l’impatto ed i rischi.

Il DPO – Data Protection Officer (artt. 37-39 Reg. UE 2016/679)

Il nuovo Regolamento Europeo Privacy introduce la figura del Data Protection Officer (DPO). Si tratta di un soggetto dotato di specifiche competenze, che dovrà occuparsi di sovrintendere il modello di gestione della privacy.

Fra gli altri compiti, il DPO dovrà verificare la corretta applicazione della normativa, collaborare con titolare e responsabile in caso di Data Breach e nella stesura delle DPIA, partecipare alle decisioni che riguardano i dati personali, collaborare con l’Autorità Garante.

L’assunzione o la nomina di un DPO è sempre consigliata per conformarsi al principio di Accountability. Trattasi invece di un adempimento obbligatorio nei seguenti casi:

  • pubbliche amministrazioni ed organismi pubblici;
  • soggetti le cui attività principali richiedano il monitoraggio regolare e sistematico di dati su larga scala (ad esempio società che gestiscono dati di profilazione per effettuare web marketing);
  • soggetti le cui attività principali comportino il trattamento su larga scala di dati sensibili o relativi a condanne penali (ad esempio le cliniche private e le strutture sanitarie private).

Si veda anche “DPO (Data Protection Officer): chi è e chi deve assumerlo“.

La Data Breach Notification (art. 33 Reg. UE 2016/679)

Nel caso di un accesso illegittimo ad una banca dati o al sistema informatico, il titolare del trattamento (tramite il DPO se nominato) deve avvertire l’Autorità Garante della violazione. Ciò deve avvenire senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui se ne è avuta conoscenza.

La notificazione dovrà contenere una descrizione della violazione e della quantità e qualità dei dati interessati; una valutazione sulle possibili conseguenze ed un descrizione degli adempimenti posti in essere per porvi rimedio.

Conclusioni

Quanto sopra descritto rappresenta soltanto una panoramica generale di quello che il GDPR comporterà. Per adeguarsi e restare al passo con i tempi occorre ripensare alla radice il concetto che abbiamo dei dati. Se qualcuno ci chiede quali carte dovrà far firmare ed una lista di adempimenti da porre in essere per adeguarsi al GDPR per poi non pensarci più, significa che non ha ben compreso il principio che sta alla base del nuovo Regolamento Europeo Privacy.

[1] Art. 4, comma 1, lett. b) Codice Privacy.
[2] CJEU, Breyer v. Bundesrepublik Deutschland, C-582/14.
[3] Art. 2050 c.c.: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno“.


L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

DPO

DPO (Data Protection Officer): la nuova figura professionale in materia di privacy

Il DPO, per esteso Data Protection Officer, è una nuova figura professionale in materia privacy, fino ad oggi poco conosciuta in Italia. Con l’entrata in vigore del GDPR, efficace dal 25 Maggio 2018, numerosi soggetti avranno l’obbligo di assumerne uno. Cerchiamo quindi di capire di che cosa si tratta, quali saranno i suoi compiti e, soprattutto, chi non potrà farne a meno.


Il Privacy Officer è il soggetto che, all’interno di un’azienda, si occupa di organizzare il trattamento dei dati personali e di verificare che avvenga nel rispetto delle normative vigenti. Quando questo soggetto vanta autonomia decisionale nell’esercizio delle sue mansioni, viene definito CPO (Chief Privacy Officer) negli Stati Unit e DPO (Data Protection Officer) in Europa.

Che ruolo ha il DPO e quali sono i suoi compiti?

Nella traduzione Italiana del Regolamento UE 2016/679, la figura del DPO è stata tradotta con Responsabile della Protezione dei Dati. Questa figura non deve però essere confusa con quella del Responsabile del trattamento dei dati personali, che è ben diversa. Il DPO dovrà essere un soggetto dotato di piena autonomia ed indipendenza nello svolgimento dei propri compiti. Egli risponderà solo ed esclusivamente nei confronti del Titolare del trattamento o del Responsabile del trattamento da cui è stato nominato.

Il DPO avrà i seguenti compiti:

  • vigilare sull’osservanza del Regolamento UE 2016/679 e, più in generale, della normativa vigente in materia di privacy;
  • informare e consigliare il Titolare del trattamento in merito agli obblighi derivanti dal Regolamento e dalla normativa in materia di privacy;
  • supportare il Titolare in ogni attività concernente il trattamento di dati personali (quali la redazione del Registro dei trattamenti);
  • collaborare con il Titolare e/o con il Responsabile del trattamento nella valutazione dei Data Protection Impact Assessments (DPIA);
  • cooperare con l’Autorità Garante in materia di protezione dei dati personali e fungere da elemento di contatto fra questa ed il Titolare del trattamento;
  • essere consultato in caso di data breach ed assistere il Titolare del trattamento in caso di necessità di notifica al Garante.

Quali competenze dovrà avere un DPO?

Il DPO potrà essere nominato fra i dipendenti dell’azienda oppure potrà essere designato un soggetto esterno: un avvocato, un ingegnere o, comunque, un soggetto dotato di idonee competenze.

Il DPO dovrà possedere un’approfondita conoscenza della normativa e della prassi in materia di gestione dei dati personali. Dovrà conoscere il settore specifico in cui viene operato il trattamento (ad esempio per i trattamenti in ambito sanitario) ed avere anche competenze tecniche ed informatiche al fine di garantire idonea protezione dei dati. Nel caso in cui siano necessarie competenze trasversali, il DPO può avvalersi di un team di soggetti esperti in diverse materie. Ad esempio, un avvocato che venga nominato DPO potrà avvalersi di un ingegnere informatico per colmare eventuali lacune nelle proprie conoscenze tecniche (in materia di cybersecurity; firewall; antivirus; backup etc…). Il ruolo di DPO potrà essere ricoperto da una persona fisica o, quando si tratta di un soggetto esterno, anche da un persona giuridica. In questo caso, nelle Faq sul RPD il Garante raccomanda l’individuazione di una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Per diventare DPO non è necessario avere un titolo particolare oppure essere iscritti ad un albo. Il Titolare del trattamento deve però essere in grado di dimostrare di aver scelto un soggetto adeguato a ricoprire il ruolo. Pertanto, la qualifica professionale del soggetto incaricato, la partecipazione a Master o corsi di formazione, l’esibizione di certificazioni etc. sono tutti criteri che si consiglia di tenere in considerazione nella scelta di un DPO.

Chi avrà l’obbligo di assumere il DPO?

In base all’art. 37 del Regolamento UE 2016/679, saranno obbligati a designare un DPO:

  • le pubbliche amministrazioni e gli enti pubblici, ad eccezione delle autorità giudiziarie;
  • tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono un monitoraggio regolare e sistematico degli interessi su larga scala;
  • tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

I criteri sopra elencati non permetto di individuare con assoluta certezza i soggetti per i quali sarà richiesta la designazione di un DPO. Ciò in quanto vengono utilizzati concetti suscettibili di essere interpretati discrezionalmente, quali: attività principale; larga scala; monitoraggio regolare e sistematico.

L’Autorità Garante ha già fornito delle linee guida per interpretare questi concetti ma, in determinati casi, sarà difficile avere l’assoluta certezza sulla obbligatorietà o meno di designare un DPO. A meno che non risulti evidente che un soggetto non è tenuto a nominare un Data Protection Officer, è fortemente raccomandato effettuare una valutazione con l’aiuto di un professionista qualificato. Nel caso in cui infine si decida di non nominarlo, è opportuno documentare per iscritto le argomentazioni a sostegno di questa decisione. Ciò al fine di esibire al Garante la valutazione effettuata in caso di contestazione. La nomina di un DPO è comunque consigliata anche nei casi in cui non risulti obbligatoria.

Chi non è obbligato ad assumere un Data Protection Officer?

Non sono obbligati ad assumere un DPO tutti i soggetti che non rientrano nelle categorie di cui al capitolo precedente. Ad esempio, i liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Un DPO unico per i gruppi imprenditoriali

Il GDPR prevede che un gruppo imprenditoriale possa designare un unico responsabile della protezione dei dati personali. Ciò purché egli sia facilmente raggiungibile da ciascuno stabilimento e sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

Quanto costa un DPO?

Non esistono ad oggi tariffari di riferimento per il ruolo di DPO, il cui costo varia notevolmente a seconda delle dimensioni dell’impresa e della difficoltà dell’incarico. Se per piccole e medie imprese che trattano dati particolari, il costo annuale di un DPO sembra ad oggi attestarsi sotto gli € 10.000 annui, per imprese di grandi dimensioni o multinazionali si può tranquillamente arrivare a toccare cifre a 5 zeri.

Quello di Data Protection Officer è in ogni caso un ruolo che comporta l’assunzione di responsabilità. Richiede inoltre professionalità, conoscenze non comuni e costante aggiornamento. Diffidate dunque da soggetti privi di qualifiche, che promettono di assumere il ruolo di DPO per pochi spiccioli. In mancanza di budget adeguati, talvolta è meglio dotarsi di un buon consulente privacy e giustificare la scelta di mancata nomina del DPO conformemente al principio di accountability.

Quest’opera è distribuita da ipRights con Licenza Creative Commons Attribuzione 3.0 Italia