Ago 9 2021
Software house e GDPR

Software house e GDPR: consigli e adempimenti

Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente l’approccio alla privacy. Non c’è dubbio che questa nuova normativa interessi chiunque, perché è impossibile svolgere attività d’impresa senza trattare dati personali. Ciò non toglie che con l’avvicinarsi del 25 Maggio 2018 si siano scatenate delle reazioni spesso ingiustificate. Non tutte le imprese infatti trattano i dati allo stesso modo e sono poche quelle che dovranno operare stravolgimenti per adattarsi al GDPR. Fra di esse ci sono senza dubbio le software house.

Quando cerco di spiegare ad una software house l’importanza di adeguarsi al GDPR, dico sempre che la paura di subire sanzioni deve essere l’ultima delle motivazioni. A sanzionare una software house che decida di ignorare il GDPR non ci penserà il Garante ma il mercato stesso. Al contrario, una software house che dimostri di trattare i dati personali in modo adeguato potrà ottenere un incredibile vantaggio concorrenziale. Vediamo perché.

La software house come responsabile esterno del trattamento

In materia di privacy si distinguono due ruoli fondamentali: il titolare del trattamento ed il responsabile del trattamento. Titolare è il soggetto che decide le finalità e le modalità del trattamento. Diversamente, il responsabile è quel soggetto esterno che tratta i dati per conto del titolare, seguendone le istruzioni.

Solitamente, la software house assume il ruolo di responsabile esterno del trattamento dati. Conformemente all’art. 28 Reg. UE 2016/679, dovrà essere designata ed istruita mediante un contratto scritto. Ciò vale senza alcun dubbio quando viene fornito un software in modalità Cloud SaaS (si veda “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“). In questo caso, il titolare esternalizza il trattamento automatizzato dei propri dati verso la software house e pertanto non può esimersi dal nominarla come responsabile esterno, né quest’ultima può esimersi dal farsi nominare. Anche nei casi in cui viene fornita una licenza d’uso in modalità “on premise”, la software house tratta comunque i dati del titolare. Si pensi alla fornitura dei servizi di assistenza, aggiornamento e manutenzione del software, che possono comportare accesso ai dati anche da remoto (tramite VPN o teamviewer).

In tutti questi casi la software house deve fare attenzione a contrattualizzare in maniera adeguata le modalità di trattamento dei dati personali.

Il GDPR come vantaggio concorrenziale per una software house

Principio fondamentale del GDPR è quello di responsabilizzazione (accountability). Il titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati. Egli deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni.

Nel momento in cui un titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali. Non soltanto, il titolare deve anche svolgere degli audit periodici, per verificare che la software house tratti i dati in maniera conforme al GDPR ed a quanto dichiarato nel contratto di designazione a responsabile esterno. Se non lo fa, il titolare diviene direttamente responsabile per culpa in eligendo ed in vigilando.

Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR. Contrariamente, una software house che non si adegui alle nuove normative, rischia di non poter più essere scelta dai propri clienti e partner commerciali.

L’importanza delle certificazioni e dei codici di condotta per una software house  

Come spiegato sopra, nel momento in cui un titolare sceglie una software house, deve effettuare una due diligence per assicurarsi che tratti i dati in maniera conforme al GDPR. Allo stesso modo, dovrebbe effettuare su questa società ispezioni ed audit periodici, per verificare che la conformità sia mantenuta nel tempo.

Se questo è vero in teoria, nella pratica ciò è spesso difficile da attuare. Gli imprenditori hanno altro a cui pensare. Molti di loro hanno già problemi ad adeguare la propria azienda alla nuova normativa, figuriamoci se trovano il tempo e le risorse per verificare che anche i loro responsabili esterni si siano adeguati.

Una soluzione a questo problema può essere data dalle certificazioni e dai codici di condotta, di cui agli artt. 40 e ss. Reg. 2016/679Il fatto che una software house abbia ottenuto una certificazione privacy oppure aderisca ad un codice di condotta, rappresenta di per sé una grossa garanzia di adeguatezza per il titolare che la sceglie. Ad oggi non ci sono ancora certificazioni o codici di condotta ufficiali. Tuttavia, non appena usciranno, potranno rappresentare un sicuro vantaggio concorrenziale per le software house che li adotteranno.

Per arrivare pronti al momento in cui usciranno le prime certificazioni ed i primi codici di condotta, una software house deve iniziare a lavorare sin da adesso. Diversamente, rischia di non restare al passo con il mercato.

Pensare al GDPR nello sviluppo dei software: privacy by design e by default

Oltre all’accountability, principi fondamentali del GDPR sono quelli di privacy by design e privacy by default. Nel mondo del software, privacy by design significa che bisogna iniziare a porsi il problema del trattamento dei dati personali sin dalla fase di progettazione. Privacy by default significa che deve essere previsto di default il maggior livello di protezione possibile, senza costringere l’utente a comportamenti attivi per innalzarlo.

Un software, soprattutto un gestionale, che si conformi a questi principi, avrà anch’esso un vantaggio incredibile sulla concorrenza. Infatti, la maggior parte dei dati aziendali vengono trattati mediante i software gestionali. Un software che preveda misure quali la pseudonimizzazione, la crittografia, la registrazione dei consensi, la registrazione dei log etc. facilita di molto il compito dell’imprenditore che intenda conformarsi al GDPR. Di conseguenza, nella scelta di un software gestionale, l’aspetto privacy giocherà un ruolo fondamentale.

Per conoscere le modalità per prevenire e gestire i data breach potete leggere l’articolo “Violazioni della privacy: come gestire un data breach“.

Conclusioni

Il GDPR e la privacy in generale sono visti dai più come un costo ed una scocciatura. Se c’è però una categoria che deve guardare al GDPR come ad un’opportunità di crescita è proprio quella delle software house. Coloro che hanno già iniziato a lavorare sulla privacy, nominando un DPO o affidandosi ad un professionista competente, potranno presto raccoglierne i frutti. Per le software house che invece trascureranno la materia del trattamento dei dati personali, le sanzioni del Garante saranno un rischio, quelle del mercato una certezza.

Webmaster 0 Comments
Ago 9 2021
Amministratore di Sistema

Amministratore di sistema

L’amministratore di sistema è la figura professionale che si occupa di gestire e manutenere il sistema informatico di un’impresa. Ai fini della normativa privacy, vengono considerati amministratori di sistema anche coloro che gestiscono banche dati, reti informatiche, apparati di sicurezza o software complessi.

Non deve stupire il fatto che la figura dell’amministratore di sistema sia centrale per la tutela della privacy. Infatti, questo soggetto ha un accesso privilegiato a tutti i dati personali trattati dall’impresa. L’amministratore di sistema si occupa inoltre delle misure di sicurezza, quali back-up, disaster ricovery, installazione ed aggiornamento di antivirus e firewall, gestione delle credenziali e dei sistemi di autenticazione ed autorizzazione.

Per questi motivi, un imprenditore deve scegliere con estrema cura l’amministratore di sistema ed applicare una serie di cautele affinché la sua attività sia controllata. Il Garante per la protezione dei dati personali si è occupato del ruolo dell’amministratore di sistema nel provvedimento del 27 Novembre 2008, modificato il 25 Giugno 2009.

Quando si ha un amministratore di sistema?

L’amministratore di sistema può essere un soggetto sia interno all’azienda, che esterno.

Le società più strutturate che si avvalgono di sistemi informatici complessi spesso hanno fra il loro personale un responsabile IT. Diversamente, piccole e medie imprese si rivolgono più spesso a tecnici esterni per manutenere i propri sistemi informatici.

Non tutti i tecnici informatici sono però amministratori di sistema. Non rientrano in questa definizione quei soggetti che solo occasionalmente operano su un sistema informatico per manutenzione oppure per risolvere un guasto. Diversamente, possono essere amministratori di sistema coloro che sono in grado di accedere in ogni momento, anche da remoto, ad un sistema informatico. Anche in questi casi, la nomina come amministratore di sistema non è una conseguenza automatica. Essa deve essere valutata caso per caso a seconda dei compiti e delle autorizzazioni attribuite.

La nomina di un amministratore di sistema può infatti essere evitata per quelle imprese che si limitano a trattare dati personali comuni per ordinarie finalità amministrativo-contabili. In sostanza, non ne hanno bisogno le imprese che non trattano dati sensibili, giudiziari o di traffico telefonico ma si limitano a trattamenti ordinari ed a basso rischio, quali la gestione della contabilità, dei dipendenti, acquisto di materiali di consumo, gestione del parco auto etc.

Obblighi con riferimento agli amministratori di sistema

L’imprenditore che decida di nominare un amministratore di sistema ha innanzi tutto l’obbligo di valutarne preventivamente l’esperienza, la capacità e l’affidabilità. Il ruolo deve inoltre essere affidato ad una persona ben individuata e non ad una società, i cui riferimenti devono essere riportati in un documento interno da mostrare al Garante in caso di sopralluogo. Qualora l’amministratore di sistema tratti anche i dati personali dei dipendenti di una società, questi ultimi devono essere messi a conoscenza della sua identità.

L’attività dell’amministratore di sistema deve essere verificata con cadenza almeno annuale dal titolare del trattamento. Affinché ciò sia possibile, i suoi accessi al sistema informatico (access log) devono essere registrati e conservati per almeno sei mesi. Le registrazioni devono essere complete, inalterabili e verificabili.

Verifica dell’attività dell’amministratore di sistema

La verifica annuale dell’attività dell’amministratore di sistema si esaurisce sostanzialmente nel controllo degli access log. Gli eventi generati dai sistemi di autenticazione devono contenere l’username utilizzato, data, ora e luogo dell’accesso, descrizione dell’evento (software e dispositivo usati, errori, se si tratta di logs-in o logs-out etc.). I sistemi più complessi permettono altresì di registrare le azioni eseguite sui dati. In base al principio di accountability, divenuto centrale con il GDPR, l’imprenditore dovrà verificare le attività dell’amministratore di sistema con un livello di profondità commisurato al rischio.

La contrattualizzazione dell’amministratore di sistema

Quando l’amministratore di sistema è un dipendente della società, egli non sarà altro che un incaricato del trattamento dotato di particolari autorizzazioni. Sebbene la nomina scritta degli incaricati del trattamento non sia obbligatoria per il GDPR, essa è fortemente consigliata in considerazione del principio dell’accountability, nonché tuttora richiesta da numerosi provvedimenti del Garante.

Diversamente, quando il ruolo di amministratore di sistema viene affidato in outsourcing ad un soggetto esterno, questo dovrà considerarsi altresì un responsabile del trattamento. In considerazione di ciò, il titolare dovrà vincolare l’amministratore di sistema con un contratto scritto, contenente tutti i requisiti richiesti dall’art. 28 Reg. UE 2016/679.

Conclusioni

Nell’articolo “Software house e GDPR: perché è fondamentale adeguarsi” ho sottolineato l’importanza rivestita dalla normativa sulla privacy per quelle imprese che si occupano di informatica. In particolare, mi riferisco a tutte quelle società che si occupano della manutenzione dei sistemi hardware e software dei loro clienti.

L’importanza di adeguarsi al GDPR per questi soggetti non è data soltanto dalla necessità di evitare le sanzioni ma anche e soprattutto da quella di restare competitivi sul mercato. Infatti, ogni volta in cui un titolare del trattamento decida di affidare in outsourcing la manutenzione dei propri sistemi informatici, deve assicurarsi che il soggetto incaricato garantisca un’adeguata protezione ai suoi dati personali. Ciò vale a maggior ragione per l’amministratore di sistema. Egli ha in mano tutti i dati personali dell’impresa, pertanto i titolari non potranno rivolgersi a soggetti che non rispettino le norme sulla privacy o non forniscano adeguate garanzie di sicurezza.

Quest’opera è distribuita da ipRights con Licenza Creative Commons Attribuzione 3.0 Italia

Webmaster 0 Comments
Ago 9 2021
Violazioni della privacy

Le violazioni della privacy dopo il GDPR: come gestire un data breach

Dal 25 Maggio 2018, il  nuovo regolamento europeo in materia di trattamento di dati personali n. 2016/679 (GDPR) obbliga tutte le imprese a gestire le violazioni della privacy.

Il Considerando n. 85 del GDPR ci ricorda che una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone. Le violazioni della privacy possono tradursi in discriminazioni, furti di identità, perdite economiche, pregiudizi alla reputazione etc. Pertanto, il legislatore europeo ha voluto obbligare tutte le imprese che trattano dati personali a dotarsi di particolari procedure in caso di data breach.

Cos’è un data breach

Un data breach è una violazione dei dati personali trattati da un’impresa. Può definirsi come una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali.

La distruzione del dato si ha quando questo viene cancellato in modo irreversibile. Si parla invece di perdita quando il dato fuoriesce dalla sfera di controllo del suo legittimo detentore. L’accesso non autorizzato può riguardare un sistema informatico (hackeraggio) o un database fisico (sottrazione di fascicoli personali). La rivelazione non autorizzata si verifica quando un soggetto avente un obbligo di riservatezza, ad esempio un dipendente, trasmette l’informazione a terzi non autorizzati. Infine, rappresenta un data breach anche la modifica non autorizzata di un dato. Per comprenderne la pericolosità, si pensi alle conseguenze che può portare sulle cure di un paziente la modifica di un referto medico.

Le violazioni della privacy più comuni

Un data breach può manifestarsi in diverse forme, di cui la più comune è probabilmente quella dell’attacco hacker. Ogni volta in cui il nostro sistema informatico viene colpito da un virus o semplicemente subisce un accesso non autorizzato siamo in presenza di un data breach. In questi casi, a meno che non siano state adottate misure preventive idonee, non sempre siamo in grado di stabilire se i dati siano stati sottratti o compromessi. Lo stesso ragionamento vale anche in caso di accesso non autorizzato ad un database fisico. Si pensi ad un furto in azienda in cui venga compromesso l’archivio.

Un data breach può derivare anche dallo smarrimento o dal furto di un dispositivo in cui sono contenuti dati personali, come ad esempio uno smartphone aziendale o una pen drive.

Le violazioni della privacy più comuni sono quelle derivanti dall’errore umano. Si pensi alla consegna o alla comunicazione di documenti contenenti dati personali alla persona sbagliata. Più gravi sono i casi di errata pubblicazione dei dati, quando questi vengono comunicati con strumenti a larga diffusione, ad esempio con un invio massivo di email o tramite la pubblicazione sul web.

Infine, una delle ipotesi più comuni e pericolose di data breach è quella del c.d. insider misuse. Si tratta del caso in cui una persona interna all’azienda sottrae dati personali abusando dei suoi privilegi e delle sue autorizzazioni. Si pensi al caso del dipendente che, licenziatosi dall’impresa, si porti via il database con le informazioni riservate dei clienti.

Quando è necessario segnalare un data breach al Garante

A partire dal 25 Maggio 2018, il titolare deve notificare le violazioni della privacy all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.

L’obbligo di notifica dei data breach non è una novità assoluta per il nostro ordinamento. Il Garante Italiano aveva infatti già previsto quest’obbligo per gli operatori telefonici ed per le violazioni dei dossier sanitari elettronici. Peraltro, in questi casi specifici i termini per effettuare la notifica sono più ristretti, rispettivamente 24 e 48 ore.

Nel caso in cui i suddetti termini vengano superati, il titolare dovrà essere in grado di giustificare il ritardo.

L’obbligo di notifica dei data breach però non sussiste in tutti i casi. Il titolare non dovrà notificare la violazione quando è in grado di dimostrare che questa non presenta un rischio per i diritti e le libertà delle persone fisiche. Ad esempio, se il titolare aveva protetto i dati mediante crittografia e conservato adeguatamente la chiave di decriptazione, il data breach potrà considerarsi inoffensivo.

Il contenuto della notifica al Garante

La comunicazione del data breach al Garante dovrà contenere almeno i seguenti elementi:

  1. una descrizione della natura della violazione, dei dati compromessi e del numero approssimativo degli interessati;
  2. il nome ed i dati di contatto del DPO o di un altro soggetto con cui interfacciarsi;
  3. la descrizione della possibili conseguenze;
  4. la descrizione delle misure adottate per porre rimedio alla violazione della privacy o attenuarne gli effetti.

Quando è necessario notificare un data breach agli interessati

Quando la violazione della privacy comporta un rischio elevato per i diritti e le libertà degli interessati, il titolare dovrà comunicare il data breach anche a loro. Ciò deve essere fatto al fine di consentirgli di prendere le precauzioni necessarie per evitare o limitare i danni.

Ad esempio, se vengono violate le password degli utenti di un sito web contenente dati personali, il titolare dovrà notificare il data breach al Garante ed alle persone interessate, consigliando di modificare immediatamente le password.

La comunicazione ai soggetti interessati può essere evitata in tre casi:

  1. quando il titolare abbia preventivamente adottato misure adeguate di protezione dei dati (ad es. la cifratura);
  2. nei casi in cui il titolare abbia successivamente adottato rimedi adeguati a scongiurare un rischio elevato;
  3. quando la comunicazione richiede sforzi sproporzionati. In questi casi, il titolare potrà ricorrere a comunicazioni pubbliche, mediante comunicati web o pubblicazioni.

La registrazione dei data breach

Il titolare del trattamento deve documentare le violazioni della privacy. A tal fine, occorre predisporre un registro dei data breach, dove annotare la descrizione della violazione, le sue conseguenze ed i provvedimenti adottati per porvi rimedio.

L’annotazione dei data breach è necessaria affinché il titolare possa imparare dai propri errori. Infatti, il miglior modo per mettere in piedi un efficace sistema di gestione privacy è quello di studiare le violazioni, accertarne le cause e porre in essere misure adeguate ad evitare che si ripetano.

Adottare una procedura interna per la gestione dei data breach

Le procedure da seguire in caso di data breach ben si conciliano con il principio di accountability (responsabilizzazione), su cui si fonda l’intero impianto del GDPR. All’imprenditore viene chiesto di monitorare i propri errori, attivarsi immediatamente per porvi rimedio, imparare dai propri sbagli ed infine documentare tutto.

L’unico modo per essere in grado di rispettare le norme imposte dal GDPR in materia di data breach è quello di dotarsi di una procedura interna. Ogni impresa deve istruire il proprio personale innanzi tutto a riconoscere i data breach. Dopodiché, il titolare deve fare in modo che la violazione non venga ignorata, bensì comunicata immediatamente al DPO o ad un diverso soggetto responsabile. Infine, è indispensabile dotarsi di strumenti che permettano di individuare i data breach, ad esempio utilizzando un sistema di monitoraggio dei log al sistema informatico, nominando un amministratore di sistema etc.

Ancora più importante è non aspettare che il data breach si verifichi, bensì agire in via preventiva. A tal fine è necessario effettuare un’analisi dei rischi e predisporre misure adeguate a prevenirli, come ad esempio la crittografia, l’adozione di antivirus e firewall, la modifica periodica delle password etc.

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Webmaster 0 Comments