GDPR Compliant

GDPR Compliant in 11 mosse per PMI

Il General Data Protection Regulation GDPR (in italiano RGPD) è efficace ormai dal 25 Maggio 2018. Anche la c.d. proroga di 8 mesi (che poi una vera proroga non era) è scaduta il 19 Maggio 2019. Nonostante ciò, le aziende in regola con il GDPR sono ancora pochissime. Alcune hanno fatto qualche sforzo, ritenendo sufficiente stampare ed in inviare dei documenti, magari trovati su Internet o preparati da consulenti più o meno improvvisati. Altri hanno addirittura nominato un DPO, che però hanno visto 2 volte in un anno e che magari si è limitato a mettere a disposizione il suo nome ed a consegnare qualche prestampato in cambio di poche centinaia di euro.

Nonostante ciò, la qualità della documentazione che circola in rete e di cui le aziende vengono inutilmente sommerse ogni giorno dimostra come vi sia ancora la più totale ignoranza in materia.

Ma allora, cosa devono fare le aziende per mettersi in regola? In seguito cercherò di riassumere i punti essenziali per raggiungere una compliance GDPR. Tuttavia, per poter ottenere risultati soddisfacenti è indispensabile capire la norma e rivoluzionare il proprio approccio al trattamento dei dati, non solo personali.

Cambiare l’approccio ai dati per essere GDPR Compliant

Siamo abituati a pensare alla privacy come ad una inutile scocciatura: una serie di firme su fogliacci che nessuno legge o capisce, ma che non ci risparmiano comunque da chiamate indesiderate e dall’uso incontrollato dei nostri dati. É fuori dubbio che le leggi sulla privacy in vigore sino ad oggi abbiano fallito e siano rimaste del tutto inapplicate. É quindi normale che un imprenditore consideri il GDPR come un’ulteriore scocciatura, da liquidare nel minor tempo ed al minor costo possibili.

Se questo resta l’approccio dell’imprenditore, diventare GDPR Compliant sarà una missione impossibile. Il Nuovo Regolamento Europeo rivoluziona completamente l’approccio al trattamento dei dati. Si passa da un modello fatto di adempimenti formali e misure minime da rispettare ad uno basato sulla responsabilizzazione (accountability) dell’imprenditore e sulla riduzione reale del rischio.

Per le PMI che non trattano dati ad alto rischio o in grande quantità, ciò comporta un notevole alleggerimento degli obblighi di legge rispetto al passato. Tuttavia, l’imprenditore non può più disinteressarsi del trattamento dei dati dopo aver fatto firmare un paio di fogli, né delegare un consulente e sperare di non doversene più preoccupare. Affidarsi ad un professionista realmente competente è indispensabile ma lo è anche lavorare insieme a lui. Solo in questo modo l’adeguamento al GDPR può tradursi in una occasione per modernizzare e migliorare l’efficienza e la sicurezza dell’azienda con riferimento ai dati, non soltanto quelli personali.


Si veda anche “ISO 27001 e GDPR per la Sicurezza dei Dati Aziendali“.


Undici punti da seguire per diventare GDPR Compliant

Punto 1: la mappatura dei trattamenti

Il primo passo consiste nell’individuare i trattamenti di dati personali effettuati dall’azienda e mapparli.

Per ciascuna categoria di dati trattati, occorre individuare chi siano i soggetti interessati, verificare la finalità ed i criteri di liceità dei trattamenti, ovvero le norme che li legittimano.

Occorre stabilire quale sia il ruolo dell’impresa in relazione ad ogni singolo trattamento, ovvero se agisca in qualità di titolare, di responsabile o di contitolare.

É necessario individuare la durata del trattamento (c.d. data retention) e verificare che corrisponda né più né meno a quella necessaria per adempiere alle finalità perseguite.

Infine, bisogna individuare provenienza e destinazione dei dati, ovvero le modalità di raccolta e di conservazione e i destinatari a cui vengono comunicati.

Una volta fatto questo, un consiglio utile è quello di creare delle mappature grafiche, che ci permattano di avere tutto chiaro e disponibile a colpo d’occhio, anche in caso di controlli.

Un esempio pratico: la mappatura dei dati dei dipendenti

Possiamo fare un esempio pratico della mappatura di un trattamento comune a tutte le imprese: la gestione dei dati del personale dipendente.

In primo luogo, si individuano i dati trattati per ciascun dipendente: nome, cognome, codice fiscale, data e luogo di nascita, indirizzo, coordinate bancarie, numero di telefono, e-mail, qualifiche, stipendio, orario di lavoro, iscrizione a sindacati, idoneità al lavoro, assenze per malattia ed infortuni, permessi di cui alla l. 104/92 etc.

Individuati i dati, si determinano le finalità: esecuzione del contratto di lavoro, preparazione delle buste paga, monitoraggio delle presenze, gestione dei permessi, igiene e sicurezza etc. I criteri di liceità saranno: l’art. 6 lett. b) RGPD (trattamento necessario all’esecuzione del contratto) per quanto riguarda i dati comuni; l’art. 9, lett. b) e h) RGPD (adempimento degli obblighi di diritto del lavoro e di medicina preventiva sul lavoro) per quanto riguarda i dati c.d. sensibili (iscrizione a sindacati, stato di salute etc.).

A questo punto, si stabilisce la durata del trattamento in base alle finalità (in genere 10 o 5 anni oltre la conclusione del rapporto di lavoro). Infine, si determinano le modalità di raccolta dei dati e i destinatari (es. consulente del lavoro, RSPP, medico competente, INPS, INAIL etc.).

Punto 2: valutare la necessità di nomina di un DPO

Una volta mappati i dati, sarà possibile verificare se la società sia o meno obbligata alla nomina di un DPO in base all’art. 37 RGPD.

Obbligati alla nomina sono le Amministrazioni Pubbliche oppure i soggetti che, come attività principale effettuano:

  • il trattamento, su larga scala, di dati particolari di cui agli artt. 9 e 10 RGPD;
  • trattamenti che comportano il monitoraggio regolare e sistematico di dati personali su larga scala.

Se si decide di non nominare un DPO, la scelta deve essere motivata e messa per iscritto mediante una breve relazione.

Punto 3: inventario degli asset e delle misure di sicurezza

Per poter tenere sotto controllo i dati ed effettuare delle analisi dei rischi, è necessario inventariare tutti gli strumenti con cui si effettuano trattamenti di dati personali.

L’inventario degli asset avrà ad oggetto i sistemi informatici collegati alla rete aziendale (computer dektop e laptop, tablet, smartphone, server, NAS, router etc.) ed i software utilizzati (ERP, CRM, servizi in Cloud etc.); siti web e pagine social; database ed archivi, anche cartacei.

Ciascun asset deve essere associato ai trattamenti che lo riguardano ed al personale che lo gestisce.

Mantenere un inventario degli asset sempre aggiornato permette all’azienda di individuare facilmente vulnerabilità che possono rappresentare delle fonti di rischio.

Punto 4: valutazioni dei rischi e DPIA

Una volta mappati i trattamenti e gli asset a cui sono collegati, è necessario effettuare per ciascun trattamento una valutazione dei rischi per i diritti e le libertà fondamentali delle persone fisiche.

Il criterio oggi più utilizzato per effettuare queste valutazioni è quello fornito da ENISA, nel suo Handbook on Security on Personal Data.

In alcuni casi definiti dall’art. 35 RGPD, sarà necessario approfondire l’analisi di rischi specifici mediante l’effettuazione di una DPIA (Data Protection Impact Assessment). La DPIA deve tener conto del rischio di partenza e di quello mitigato in seguito all’applicazione delle misure di sicurezza (es. autenticazioni complesse, ricorso a crittografia e pseudonimizzazione etc.).

Punto 5: Mitigation Plan

Quando dalle valutazioni precedenti emergano dei rischi medi o addirittura alti, è necessario porre in essere dei piani di mitigazione per riportarli a livelli accettabili.

Il Mitigation Plan consiste nell’introduzione di misure di sicurezza, non necessariamente di natura informatica. Anche misure di tipo organizzativo oppure l’implementazione dei requisiti di trasparenza verso i clienti possono rappresentare strumenti di mitigazione del rischio.

Per attuare un Mitigation Plan efficace possiamo trarre spunto dai controlli suggeriti dalle norme ISO 27000 in materia di sicurezza delle informazioni.

Punto 6: redazione del registro dei trattamenti

Con le informazioni ricavate sopra, è possibile redigere un registro dei trattamenti mediante un foglio excel oppure ricorrendo ad uno dei numerosi software disponibili sul mercato. Il registro dei trattamenti non è obbligatorio per le imprese con meno di 250 dipendenti e che non trattano dati personali con rischio elevato (art. 30 RGPD). Tuttavia, la redazione dei registri è consigliata in tutti i casi, poiché si tratta di documenti indispensabili per tenere sotto controllo i trattamenti e facilitano notevolmente le operazioni in caso di controlli. Per di più, mantenere un registro aggiornato è un adempimento semplice ed a basso costo.

Deve essere redatto un registro per i trattamenti svolti in qualità di titolare ed uno, eventuale, per i trattamenti svolti in qualità di responsabile.

Altri registri necessari all’adeguamento sono quello delle violazioni (o Data Breach) e quello relativo alle richieste di esercizio dei diritti da parte dagli interessati.

Punto 7: redazione di politiche e procedure

Per poter dimostrare di essere GDPR Compliant e gestire i dati in sicurezza, efficenza e nel rispetto dei diritti delle persone fisiche, occorre che l’azienda si dia delle regole interne da seguire.

Una delle procedure in assoluto più importanti è quella finalizzata a riconoscere, gestire e notificare i Data Breach. Le violazioni sono infatti eventi all’ordine del giorno ma molto spesso non vengono individuate o riconosciute. La mancata o non tempestiva notifica di un Data Breach può innescare controlli e sanzioni, pertanto è necessario fare molta attenzione a questo punto.

Altre procedure importanti sono quella per la gestione delle richieste degli interessati, quella per l’utilizzo della strumentazione informatica, quella per il trattamento dei dati dei dipendenti, per la navigazione in Internet etc.

La creazione di procedure snelle, chiare ed efficaci è fondamentale per la creazione di un sistema di gestione privacy.

Punto 8: redazione o aggiornamento delle informative privacy

Quelle che fino ad oggi abbiamo per lo più considerato “scartoffie”, ovvero le informative privacy, non sono sparite. La messa a disposizione di informative agli interessati resta uno degli adempimenti fondamentali per soddisfare il requisito della trasparenza ed essere GDPR Compliant.

L’informativa però non dovrebbe mai essere un modulo prestampato, magari scopiazzato o scaricato da Internet. L’informativa deve essere un vestito sartoriale e raggiungere lo scopo di illustrare agli interessati, con parole semplici ed immediate, come vengono trattati i loro dati personali.

Devono essere redatte informative per i clienti, per i fornitori, per i dipendenti e per tutti gli interessati di cui un’organizzazione tratta dati personali in qualità di titolare. Le informative devono poi essere messe a conoscenza degli interessati con modalità adeguate. Un consiglio che fornisco sempre ai miei clienti è quello di dedicare una pagina del proprio sito web alla privacy, inserendo al suo interno anche l’informativa. Questa risulta utile non soltanto a dimostrare di essere GDPR Compliant in caso di controlli ma anche a mostrare ai propri clienti l’importanza che diamo alla sicurezza dei loro dati.

Punto 9: autorizzazioni al personale e formazione

L’impresa è titolare o responsabile del trattamento ma, di fatto, i dati personali vengono poi trattati dai suoi dipendenti. Per questo è fondamentale creare un organigramma privacy ed assegnare ruoli e responsabilità. Ciascun dipendente deve essere autorizzato a trattare solo ed esclusivamente i dati personali necessari a svolgere le sue mansioni, né più né meno. Ogni dipendente deve inoltre essere vincolato ad obblighi di riservatezza e di diligenza nell’esecuzione dei trattamenti.

Anche in questo caso, fermarsi alla consegna ed alla firma di un documento non è sufficiente. É necessario assicurarsi che il dipendente comprenda quali sono i suoi obblighi e li rispetti. A tal fine è indispensabile la formazione. Ciascun membro dell’organizzazione deve essere istruito sui propri obblighi e sulle procedure che l’azienda si è data.

Punto 10: contrattualizzazione dei fornitori

Ultimamente, oltre alle informative le aziende ricevono da firmare i contratti per la designazione dei responsabili esterni del trattamento. Anche in questo caso, spesso l’imprenditore non ha la minima idea di quello che c’è scritto dentro ed invia e firma i contratti soltanto per soddisfare un requisito di legge.

Questo non soltanto è insufficiente per essere GDPR Compliant ma è anche rischioso. Un contratto è sempre fonte di obblighi giuridici e deve essere redatto da persone competenti e con cognizione di causa.

Aldilà della redazione dei contratti, la scelta dei fornitori è fondamentale. Affidarsi ad un fornitore che non ci garantisce sicurezza o trasparenza sulla gestione dei dati, non solo quelli personali, è un rischio enorme. In primo luogo, perchè le responsabilità dei fornitori si riflettono in sanzioni per il titolare del trattamento. In secondo luogo, perché spesso mettiamo nelle mani di un fornitore le sorti stesse delle nostre aziende. Pensiamo ad esempio al fornitore di un software gestionale in Cloud: ci siamo chiesti dove sono i nostri dati e cosa succede se il fornitore stacca la spina?


Si veda anche “Software House e GDPR: Perché è Fondamentale Adeguarsi” e “Privacy in Cloud Computing: Come Proteggere i Dati sulla Nuvola“.


Punto 11: piano di mantenimento e miglioramento

Come anticipato sopra, il GDPR non è qualcosa di cui ci si libera in fretta con una serie di adempimenti formali. Per continuare ad essere GDPR Compliant è richiesto un lavoro costante nel tempo, di aggiornamento e miglioramento continui. Se siamo riusciti a mettere sù un sistema di gestione efficente, mantenerlo sarà un gioco da ragazzi. Diversamente, dovremo ripartire ogni volta da zero.

Occorre quindi mantenere aggiornati i registri dei trattamenti, rifare periodicamente l’analisi dei rischi, porre in essere gli adempimenti necessari a gestire i cambiamenti (nuove assunzioni, nuovi fornitori, nuovi servizi etc.).

Diventare GDPR Compliant un passo alla volta

Adempiere a tutti i punti precedenti per una PMI può sembrare un lavoro enorme e costoso. In realtà non c’è da spaventarsi. A differenza della normativa precedente, il GDPR tiene conto delle dimensioni e del budget di ciascuna organizzazione e non richiede a nessuno adempimenti impossibili. L’importante quindi è responsabilizzarsi e darsi di volta in volta degli obiettivi di miglioramento, nei limiti del budget aziendale ed in proporzione al livello di rischio. É evidente che ad un ospedale e ad un’industria tessile non siano richiesti gli stessi sforzi per raggiungere la compliance GDPR. Ad entrambi però è richiesta una presa di coscienza dei propri dati.

A differenza della mera compilazione di “scartoffie”, un lavoro ben fatto porterà ad un effettivo miglioramento nella sicurezza dei dati in generale, non solo di quelli personali, che oggi costituiscono la risorsa più importante per ogni azienda. Un lavoro solo formale si tradurrà in un costo inutile, mentre un lavoro serio potrà rappresentare un investimento, volto a prevenire incidenti ben più dispendiosi (si pensi a quanto può costare una falla nella cybersecurity con perdita o divulgazione dei dati aziendali) se non addirittura ad apportare vantaggi concorrenziali.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Registro dei trattamenti

Il registro dei trattamenti

Il registro dei trattamenti di dati personali è un documento interno all’azienda e costituisce un elemento fondamentale per la compliance al GDPR. Esso consente di avere una fotografia dei trattamenti di dati personali effettuati dall’azienda. Pertanto, esso rappresenta la base di partenza in caso di controlli da parte del Nucleo Privacy della Guardia di Finanza. La sua corretta redazione ed il suo costante aggiornamento sono fondamentali per dimostrare la conformità al GDPR ed il rispetto del principio di accountability.

Cosa si intende per trattamento dati e cosa occorre registrare

Per compilare il registro è necessario innanzi tutti individuare i trattamenti da registrare. Ma cosa di intende per trattamento dati?

L’art. 4 del GDPR definisce il trattamento come ogni operazione o insieme di operazioni compiute su dati personali. Raccogliere il nome di un cliente è un trattamento. Lo sono anche cancellare un numero di telefono o comunicarlo ad un terzo soggetto.

Ovviamente, il GDPR non pretende che ogni singola operazione di trattamento dati venga registrata. È quindi necessario creare delle categorie più o meno ampie da inserire nel nostro registro trattamenti privacy. 

Alcuni esempi pratici di trattamenti di dati personali

Un trattamento effettuato da tutte le aziende, o quasi, è la gestione del personale. Ogni datore di lavoro tratta dati personali dei propri dipendenti, per gestire i contratti; pagare gli stipendi; garantire ferie e permessi; gestire le presenze, assenze per infortuni e malattie etc. Queste attività di trattamento devono essere registrate. Il titolare potrà decidere di raggruppare tutte le attività in un’unica macro-categoria, denominata “gestione del personale”, oppure creare categorie più specifiche, come: pagamento buste paga, gestione delle presenze, formazione del personale, gestione dei contratti, sicurezza sul lavoro, ricerca ed assunzione del personale etc.

Non esistono regole che ci dicano quando è necessario scendere nel dettaglio nella registrazione delle attività di trattamento. La scelta è rimessa al titolare sulla base del principio di accountability e può variare a seconda della complessità dell’azienda. Per alcune piccole imprese, organizzate in modo molto semplice, potrebbe essere sufficiente utilizzare categorie ampie, come: gestione dei clienti, gestione dei fornitori, gestioni del personale etc. Per aziende più strutturate, potrebbe essere necessario entrare più nel dettaglio. 

Personalmente, ritengo che sia controproducente eccedere nel dettaglio, così come rimanere eccessivamente generici. Avere un registro di trattamenti con centinaia di micro-categorie rischia infatti di complicare eccessivamente la sua tenuta ed il suo costante aggiornamento e non risponde all’esigenza del registro, che è quella di consentire un’immediata lettura dei trattamenti di dati effettuata da un’azienda.

Chi è obbligato a redigere un registro dei trattamenti dati

L’art. 30 del GDPR obbliga alla tenuta del registro dei trattamenti soltanto:

  • le imprese con più di 250 dipendenti;
  • le imprese con meno di 250 dipendenti che, in modo non occasionale:
    • effettuino trattamenti che comportano rischi per i diritti e le libertà degli interessati;
    • trattino dati particolari di cui all’art. 9 GDPR o relativi a condanne e reati di cui all’art. 10 GDPR.

Tuttavia, il Considerando 82 del GDPR raccomanda l’adozione del registro a chiunque, per dimostrare la conformità al Regolamento. In mancanza di un registro, è infatti difficile per un’impresa dimostrare di aver mappato i propri dati, effettuato le analisi del rischio e, più in generale, aver preso seriamente l’adeguamento al GDPR. Senza contare che, come accennato sopra, il registro costituisce la base di partenza di ogni controllo privacy.

Alla luce di ciò, l’adozione di un registro dei trattamenti deve considerarsi un’attività fondamentale per il rispetto del principio di accountability ed è quindi fortemente consigliato a chiunque. Ovviamente, le imprese più piccole ed a minor rischio privacy potranno adottare un registro più semplice rispetto ad aziende più strutturate o che trattano dati ad alto rischio.

La mancata tenuta del registro potrebbe comportare l’irrogazione di sanzioni anche per le aziende non obbligate, seppur in modo indiretto per mancato rispetto del principio di accountability.

Cosa deve contenere il registro dei trattamenti del titolare

Fino ad ora abbiamo parlato genericamente di registro dei trattamenti. L’art. 30 del GDPR però distingue il registro del titolare ed il registro del responsabile del trattamento. Ovviamente, chi non svolge l’attività di responsabile esterno del trattamento, potrà limitarsi a tenere un solo registro.

Il registro del titolare deve contenere:

  1. denominazione e  dati di contatto del titolare del trattamento;
  2. i dati dei contitolari del trattamento, se presenti;
  3. i dati del rappresentante del titolare del trattamento, se presente;
  4. i riferimenti del DPO, se presente;
  5. le finalità del trattamento;
  6. una descrizione delle categorie di interessati (es. clienti, fornitori, dipendenti, utenti etc.);
  7. una descrizione delle categorie di dati personali (es. dati anagrafici, dati di contatto, dati sanitari, immagini etc.);
  8. le categorie di destinatari a cui i dati personali vengono comunicati;
  9. i trasferimenti di dati verso paesi terzi (compresa l’identificazione del paese) od organizzazioni internazionali e le garanzie che consentono il trasferimento;
  10. i termini o i criteri adottati per la cancellazione dei dati;
  11. se possibile, una descrizione delle misure di sicurezza tecniche e organizzative adottate.

Oltre alle suddette informazioni obbligatorie, in occasione dei controlli viene richiesta anche l’indicazione del livello di rischio assegnato a ciascun trattamento. Ciò consente al titolare di dimostrare di aver effettuato l’analisi del rischio richiesta dalla normativa.

Cosa deve contenere il registro dei trattamenti del responsabile

Le imprese che trattano dati personali in qualità di responsabili del trattamento, dovranno tenere un secondo registro. Ad esempio, una software house che fornisce ai propri clienti servizi in Cloud Computing dovrà tenere un registro a parte per queste attività di trattamento.+

Software house e GDPR: perchè è fondamentale adeguarsi

Software house e GDPR: consigli e adempimenti Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente…0 likesRead more

A differenza del registro del titolare, il registro del responsabile non dovrà contenere alcune delle informazioni che sono riservate al titolare, come ad esempio il riferimento alle finalità e alle basi giuridiche dei trattamenti.

Il registro del responsabile invece dovrà contenere i riferimenti dei titolari dei trattamenti per cui svolge l’attività. Questo adempimento diventa particolarmente difficile per quelle imprese che, come le software house o gli hosting provider, sono responsabili del trattamento per centinaia, a volte migliaia o centinaia di migliaia di clienti. In questi casi è consentito rinviare a delle liste esterne per individuare i titolari del trattamento.

Modello di registro dei trattamenti: dove trovarlo

Il registro deve essere tenuto in forma scritta, anche in formato elettronico. In commercio esistono numerosi software che consentono la tenuta del registro in formato digitale, utilizzati per lo più da consulenti o professionisti, in quanto richiedono una buona conoscenza della normativa.

I registri possono essere più o meno semplici e possono contenere anche maggiori informazioni rispetto a quelle obbligatorie prescritte dall’art. 30 del GDPR.

Nei casi più semplici, i registri possono essere tenuti anche mediante un semplice foglio excel. A tal fine, il Garante Privacy ha fornito un esempio di registro dei trattamenti al seguente link: Modello di registro semplificato delle attività di trattamento del titolare per PMI.

Conclusioni

La corretta tenuta di un registro dei trattamenti è un passo fondamentale per qualsiasi impresa, grande o piccola, che voglia raggiungere la compliance al GDPR.

Il registro non deve essere redatto e messo in un cassetto per essere tirato fuori solo in occasione dei controlli. Esso è un documento dinamico, che deve essere costantemente aggiornato e, possibilmente, migliorato nel tempo.

La redazione e la tenuta del registro sono attività che richiedono una buona conoscenza della normativa sulla privacy. Le imprese che si sono dotate di un DPO, possono affidare a quest’ultimo la corretta tenuta del registro. Diversamente, le imprese prive di DPO e che non abbiano queste competenze all’interno dell’azienda, potranno rivolgersi ad un consulente esterno.

Licenza Creative Commons

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia