Il GDPR è un regolamento dell’Unione Europea in tema di protezione delle persone fisiche con particolare riferimento al trattamento dei dati personali, soprattutto per quanto concerne la condivisione degli stessi.
In vigore dal 24 maggio 2016, il GDPR avrà però piena applicazione solo a partire dal 25 maggio 2018.
L’obiettivo? Garantire un’adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy. Si pensi a trattamenti non autorizzati o illeciti, perdita, distruzione o danno accidentale.
In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali/confidenziali) il titolare del trattamento dei dati personali deve poter dimostrare al giudice di aver preventivamente assunto tutte le precauzioni del caso.
Le misure tecniche e organizzative adeguate al possibile rischio sono diverse. Consideriamo le principali:
– Essere in grado di dimostrare che i dati vengono utilizzati solo per scopi precisi. I dati, inoltre, devono essere costantemente aggiornati e, dietro specifica richiesta, cancellati.
– Effettuare periodicamente un’analisi interna dell’infrastruttura, ad esempio attraverso prove di intrusione e QSA (acquisizione di certificazioni).
– Investire sulla formazione del personale, in modo che ogni dipendente sappia garantire la sicurezza dei dati personali.
– Eseguire la crittografia dei dati, anche all’interno dei notebook aziendali, in modo che rimangano al sicuro anche in caso di furto o smarrimento del computer portatile. La cifratura dei dati è essenziale anche nel momento in cui si salvano nelle piattaforme cloud, perché altrimenti anche in questo caso potrebbero verificarsi delle violazioni.
– Fare un backup dei dati e controllarne l’esito, consigliato il backup in cloud . Perché proprio in cloud? Il motivo è semplice: altri sistemi di backup non sarebbero sicuri al 100%. Ad esempio, se si salvassero i dati su un hard disk esterno, bisognerebbe chiuderlo in una cassaforte sorvegliata 24 ore 24, il che non è obiettivamente fattibile. Nel caso in cui i dati aziendali vengano immessi sul cloud , è indispensabile verificare che le stesse informazioni vengano adeguatamente cifrate dal provider. Le soluzioni di backup in cloud adottate dalla Sigma Informatica prevedono che i dati vengono crittografati tramite algoritmo AES 256, lo stesso che le banche utilizzano per proteggere le transazioni finanziarie.Il trasferimento di dati personali dai Paesi dell’Unione, Italia compresa, verso altre nazioni è vietata già oggi (a meno che il Paese in questione garantisca un livello di protezione “adeguato”). Gli Stati Uniti sono stati ad esempio ritenuti “adeguati” sulla base di alcune risoluzioni (la più famosa è l’US-EU Safe Harbor).
– Crittografare le email che contengono informazioni confidenziali.
– Crittografare i dati contenuti nei diversi supporti di memorizzazione, come ad esempio chiavette USB, CD, DVD,…
l regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento(si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Individuazione e gestione del rischio
Slide PDF
La violazione della sicurezza dei dati o data breach può significare tante cose: perdita, modifica, distruzione o accesso e divulgazione non autorizzata. Sono state quindi classificate tre tipologie di data breach:
1) Confidentiality breach (accesso e divulgazione) 2) Integrity breach (alterazione) 3) Availability breach (perdita o distruzione)
In caso di data breach, qualsiasi sia la categoria alla quale può essere ricondotto l’incidente occorso, in base all’articolo 33 del GDPR, il titolare del trattamento è tenuto ad informare della violazione l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo i casi in cui vi sia una scarsa probabilità che la violazione diventi un rischio per i diritti e le libertà delle persone fisiche interessate. Qualora vi fosse un ritardo nella comunicazione, il titolare è tenuto a giustificarlo.
E se invece il rischio c’è? In questo caso è necessario che il titolare comunichi la violazione agli interessati senza alcun ritardo. L’argomento è trattato nell’articolo 34 del GDPR che è chiarissimo su questo aspetto: una mancata comunicazione del data breach è giustificata solo nei casi in cui il titolare del trattamento abbia messo in atto le adeguate misure tecniche e organizzative per proteggere i dati (come ad esempio la cifratura, che li rende illeggibili e inutilizzabili a chi non è autorizzato ad accedervi) oppure ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per la sicurezza dei dati.
Scarica – dal sito del garante Privacy _”Guida all applicazione del Regolamento UE 2016 679″
Scarica la Guida Sentetica
DPO – Scarica scheda
Responsabile della protezione dei dati Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento (si veda art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/del responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35. La sua designazione è obbligatoria in alcuni casi (si veda art. 37), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano artt. 38 e 39) in termini che il WP29 ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (si veda: http://www.garanteprivacy.it/regolamentoue/rpd).
Vuoi ricevere una prima valutazione a economica sui costi dei nostri servizi finalizzati alla realizzazione delle conformità al GDPR ? compila il modulo “GDPR Valutazione Azienda” Vi realizziamo gratuitamente per tutto il mese di APRILE una documentazione di Auto Assessment e Gap Analysis
clicca qui
GDPR, gli indirizzi email sono considerati “dati personali”?
Secondo la Commissione Europea, dipende dal tipo di indirizzo e dalle informazioni che può contenere. Ecco perché:
Sono ancora tanti i dubbi delle aziende che si stanno preparando alla definitiva entrata in vigore della GDPR, il prossimo 25 maggio. E tante le domande.Una di queste è se gli indirizzi email possono essere considerati “dati personali”e dunque soggetti alle restrizioni e alla richiesta di consenso imposte dal nuovo regolamento europeo. A rispondere è la stessa Commissione Europea, che sul proprio sito chiarifica alcuni nodi fondamentali della GDPR. Gli indirizzi email sono generalmente classificati come dati non personali, ma qualora contengano il nome di una persona il loro status cambia, in quanto il dato è riconducibile a una persona determinata, e dunque non è considerato più anonimo. Quindi, se l’indirizzo email è, ad esempio, info@azienda.com è da considerarsi “dato non personale”, se invece è nome.cognome@azienda.com diventa “dato personale”.
GDPR: cosa cambia per gli uffici HR e i dipendenti
Il GDPR richiede alle organizzazioni di dettagliare quali sono le informazioni sui dipendenti, chi ha accesso alle informazioni e dove risiede l’informazione. La mancata conformità può essere costosa, le multe potrebbero essere molto ingenti.
Per prima cosa l’ufficio HR deve analizzare e studiare i nuovi requisiti richiesti dal GDPR e determinare in che modo applicarli nell’azienda. Occorre poi rivedere i processi esistenti e mappare il flusso dei dati che sono già in gestione; questo procedimento consente l’individuazione delle lacune che si andranno progressivamente a colmare. A questo punto è fondamentale redigere un preciso piano di azione, coinvolgendo tutte le parti interessate, il che significa probabilmente chiamare in causa chi nell’azienda si occupa di privacy, legale, HR, IT, Vendite e Marketing,…Una parte fondamentale di questo piano sarà quella di documentare e confermare il completamento delle azioni stabilite, per poi passare alla fase successiva. Dopodiché occorrerà progettare un buon programma di governance, in quanto il GDPR è incentrato sulla responsabilità e sulla capacità di dimostrare la conformità su base continuativa. In qualsiasi momento, la capacità di ciascuna società di dimostrare la conformità con il GDPR sarà fondamentale, in quanto la legge concede molto potere alle autorità di regolamentazione di ciascuno Stato membro per controllare, indagare e potenzialmente applicare sanzioni severe”.
COSA DEVE SAPERE IL DIPENDENTE?
Aumentano i diritti dei dipendenti. Innanzitutto, potranno accedere a dettagliate informazioni sul flusso dei loro dati, perché e come vengono trattati, pretendendo trasparenza e sicurezza. In secondo luogo, possono chiedere la rettifica o la cancellazione di dati non più necessari, applicando il cosiddetto diritto all’oblio. Si pensi soprattutto alla conclusione di un rapporto di lavoro e alla dismissione di tutti gli account e strumenti contenenti i dati dell’ex-dipendente.
Al di là di ciò che è ovvio – nome, indirizzo, data di nascita, stato civile, fascia di reddito ecc. – il dipendente ha presso la propria azienda informazioni quali la storia salariale, le esigenze dietetiche, lo stato del visto, la patente e molto di più.
Il dipendente potrà quindi richiedere in ogni momento, ed esercitare il proprio diritto all’oblio, in merito a tutti i dati che riguardano:
________________________________________________________________________________________________________________________