Il GDPR (“General Data Protection Regulation”) entra in vigore 25 maggio 2018.
È il nuovo Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio sulla protezione delle persone fisiche.
DPIA – Valutazione dell’impatto sulla protezione dei dati – Data Protection Impact Assessment
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf
E uno strumento di autovalutazione (in inglese):
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/
Il primo passo è l’analisi dei dati trattati, l’individuazione e il censimento dei dati personali e delle loro fonti. Anche i trasferimenti da e verso paesi europei devono essere considerati, nonché i mezzi con cui vengono gestiti (siti web, applicazioni web o mobile, soluzioni cloud di condivisione documenti, etc.).
Il secondo passo è la nomina del DPO (Data Protection Officer) o “Privacy Officer” o “Responsabile della protezione dei dati” che è il garante della privacy e che ha il compito di definire e organizzare le risorse necessarie per la gestione dei dati.
“Accountability” (che significa responsabilità), è un nuovo concetto introdotto dal regolamento. Significa che ogni passaggio o fase del trattamento deve essere controllato, verificato e gestito con i migliori strumenti possibili per la loro protezione.
“Cross-Border” è un altro concetto importante e riguarda il trasferimento dei dati da e verso paesi dell’Unione Europea. Sono consentiti i trasferimenti verso i paesi dell’UE mentre per il trasferimento all’estero ci sono altre regole. Si torna quindi al primo punto, l’analisi e la gestione di tutte le tipologie di trasferimento sui quali dovrà essere garantita la conformità al GDPR.
Infine, i “Diritti degli interessati” (utenti, clienti etc.) che sono i diritti a richiedere interventi sui propri dati come la variazione e, soprattutto, la cancellazione (diritto all’oblio). Questi diritti non prevedono immotivati ritardi da parte delle aziende. Quindi è bene strutturare tutto il piano GDPR partendo proprio da qui.
Altro punto importante è la comunicazione tempestiva (72 ore) del Data Breach (violazione dei dati personali, furti di dati, intrusioni etc.); quindi, prima di tutto, è necessario essere attrezzati per sapere se e quando avviene.
Cosa fare
L’analisi è la prima cosa. Significa in sostanza spulciare tutti gli aspetti del proprio lavoro e catalogare le informazioni classificandole con particolare attenzione alle informazioni personali e sensibili.
In sintesi si tratta di:
- Esaminare il perimetro delle informazioni, i processi in uso (soprattutto se non codificati) e i trattamenti adottati.
- Analizzare i rischi.
- Analizzare le misure di sicurezza in essere e individuare le carenze e punti deboli.
Più che difficile concettualmente è un’attività tediosa e, proprio per questo, difficile da concludere in modo esaustivo; questa analisi di fatto non finisce mai perché ogni novità deve essere affrontata con un’analisi. È importante non dare nulla per scontato; se per esempio un’azienda esterna sviluppa il nostro gestionale e per fare questo si avvale di accessi remoti e copie dei database per i test, è bene sapere che senza consenso informato del cliente non si può fare e che il fornitore deve essere conforme al GDPR.
Considerando il “Cross-Border”, nella fase di analisi bisogna verificare anche tutti i servizi utilizzati (un semplice sito web è coinvolto perché le informazioni gestite tramite i cookie possono attraversare gli oceani e gli archivi del servizio cloud possono trovarsi in un datacenter in Africa). Gli USA hanno il Privacy Shield che è in accordo con il GDPR e quindi è più facile con le aziende americane. Per gli altri paesi è necessaria una verifica.
Anche tutti i passaggi su carta non possono essere fatti allegramente e vanno inquadrati in processi regolamentati e controllati.
Altro punto delicato è lo scambio di file (documenti di testo, fogli elettronici) che spesso contengono dati personali ma circolano senza controllo e sono facile preda di virus che inoltrano email, phishing e altre tecniche fraudolente.
L’analisi può aiutare anche a designare il DPO (Data Protection Officer). Il DPO non è un’onorificenza, anzi è un incarico che va preso con molta serietà. Documentarsi e aggiornarsi da soli è possibile ma seguire costantemente corsi e/o seminari sull’argomento è fortemente consigliato.
Il DPO non è obbligatorio per liberi professionisti, agenti, imprese individuali o familiari ma nominarlo ugualmente aiuta a organizzare seriamente il proprio GDPR. La comunicazione all’autorità di controllo, invece, va fatta quando obbligatorio. Vedi Art. 37.
La “Accountability” comporta che, una volta fatta l’analisi, ogni dato, trattamento e processo venga definito in procedure scritte. È più noioso che complicato. Elencare chi fa cosa risolve la maggior parte della faccenda.
Alcuni punti chiave sono la definizione del modello di gestione e del profilo dei ruoli, la creazione di registri e informative e i piani di formazione (questa voce di solito resta sulla carta ma è bene non trascurarla) e audit (verifiche) periodici.
Un po’ più complicato è l’analisi e l’adeguamento degli strumenti informatici e dei fornitori, primi fra tutti quelli dei servizi cloud. Infatti, dato che ormai moltissime attività si svolgono tramite Saas (Software as a service), database online, documenti condivisi e altre soluzioni simili, è importante verificare che il provider sia conforme al GDPR. I più importanti si sono adeguati da tempo, gli altri vanno controllati bene.
Tra le altre cose “accountability” significa che non te la cavi con un “ma io non sapevo che Internet…”, quindi attenzione.
Poi ci sono le misure di sicurezza obbligatorie che implicano l’adozione di apparti come firewall, sistemi di backup e software come quelli per la crittografia dei dati, archiviazione delle password, etc.
Per i “Diritti degli interessati” ci si deve attrezzare per rispondere alle richieste che potrebbero arrivare anche in funzione dei vari canali che si adottano. Per esempio il sito web potrebbe gestire molti cookie e questo comporta che il visitatore ha il diritto di essere informato e richiedere che non vengano utilizzati per le sue visite. Poi c’è la questione del consenso informato dove per ‘consenso’ si intende che l’utente (cliente, visitatore etc.) dia il proprio consenso consapevolmente mentre per ‘informato’ si intende che gli vengano fornite informazioni chiare, semplici e inequivocabili. Il consenso deve anche essere libero e specifico, cioè non basta un solo ‘OK’ per qualsiasi attività fatta.
Lo sviluppo del GDPR, quindi, si articola in varie fasi e non è detto che un solo attore possa gestirle tutte. Bisogna fare attenzione anche ai soliti furbetti; al momento, per esempio, non esiste alcuna certificazione nazionale o europea o intergalattica per consulenti del GDPR quindi è necessario valutare con calma chiunque si presenti con la soluzione già fatta (anzi se è già fatta probabilmente è una mezza truffa).
Poiché l’argomento costi (ci saranno sicuramente) è inevitabile, conviene affrontare la questione al contrario; invece di vedere il GDPR (che, detto tra noi, è una cosa sacrosanta e ben fatta) come un costo imposto dall’alto, basti pensare di fare un investimento per un ammodernamento della propria organizzazione che prevede anche la privacy secondo la normativa Europea; suona meglio.
Risorse
Garante della privacy
http://www.garanteprivacy.it/regolamentoue
http://www.garanteprivacy.it/regolamentoue/rpd
Schema di atto di designazione del Responsabile della Protezione dei Dati:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273
Garante della privacy: diritto alla protezione dei dati personali
Informazioni dall’Europa
http://ec.europa.eu/newsroom/article29/news-overview.cfm
Informazioni dall’Europa per il GDPR; molto semplice ed efficace
http://ec.europa.eu/justice/smedataprotect/index_it.htm
Un’interessante guida in 12 punti (in inglese:
https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf