GDPR

Sei pronto per il GDPR?

Dal 25 MAGGIO 2018 il regolamento europeo avrà piena efficiacia e la mancata conformità al GDPR potrebbe costare molto cara alle aziende che non soddifano requisiti ed obblighi previsti, sia intermini si gravi sanzioni che di danni alla reputazione.

Le attività da eseguire per non farsi trovare impreparati sono tante.

Inizia subito a rivedere le procedure sulla protezione ed il trattamento dei dati personali.

In vigore già da 2 anni, il 25 maggio 2018 diventerà attuativo il nuovo regolamento europeo in materia di Privacy e Protezione dei Dati: un evento importante che avrà un impatto significativo sulla vita dei cittadini e delle organizzazioni.

Quali aziende interessa? Tutte.

Dal bar sotto casa, alle grandi multinazionali fino alle pubbliche amministrazioni, ogni azienda ne sarà colpita, senza possibilità di esclusione. 

Aree colpite? Veramente tantissime...

• dati personali dei dipendenti (codice fiscale, appartenenza alle Categorie Protette, sesso, ecc.);
• scambio di dati fra aziende;
• politiche interne di Gestione Autorizzazioni ed Accessi a cartelle, file, documenti;
• eliminazione di contatti all'interno di mailing list ed altre liste clienti; 
• tutela prototipi, modelli e progetti;
• sistemi di backup;
• gestione delle password ...

Le aree colpite dalla normativa GDPR sono veramente tante e comuni ad offni realtà, e la difficoltà principale sta nel fatto che il regolamento stesso stabilisce COSA, ma non COME. Ciò significa che le aziende hanno bisogno di essere indirizzate da consulenti Certificati ed Accreditati che li guidino con professionalità, precisione ed esperienza.

Facciamo un piccolo passo indietro... Che cos'è il GDPR?

 ** GENERAL DATA PROTECTION REGULATION - UE 2016/679 **

Il Regolamento Generale sulla Protezione dei Dati, composto da ben 173 Considerando e 99 Articoli, è la nuova normativa europea che armonizza e supera le normative attualmente vigenti negli Stati facenti parte della Comunità Europea, puntando a rafforzare e proteggere da minacce presenti e future i dirittialla protezione dei dati sensibili dei propri cittadini, dentro e fuori dall'Unione Europea.

"le informazioni personali devono essere protette"

Il GDPR  include infatti numerosi requisiti in merito alla raccolta, archiviazione ed uso delle informazioni personali. Per farlo, il regolamento introduce nuovi obblighi e nuove sanzioni che impongono alle aziende l'adozione di specifiche misure per la protezione dei dati personali.

Questo obbliga le imprese ad indirizzare correttamente e con urgenza i propri investimenti verso adeguati strumenti informatici e procedurali al fine di ridurre il rischio di pesanti sanzioni pecuniarie.

Saranno infatti obbligatori il CONTROLLO dell'accesso ai dati, la PROTEZIONE attiva della rete, automazione, MONITORAGGIO ed ANALISI, per mettere in sicurezza il perimetro della rete ed essere in linea con le richieste del Regolamento. 

Sei pronto per il GDPR?

Da una ricerca condotta dalla fondazione GSEC emerge che le organizzazioni italiane si sentono ancora impreparate a rispondere ai nuovi obblighi e principi come la notifica di violazione dei dati personali (Data Breach Notification, sanzione minima di 200.000€) la portabilità dei dati, privacy by design e by default.

La complessità dei temi trattati rende il compito non certo facile visti anche gli impatti di una normativa che richiede interventi di natura tecnica, organizzativa, legale nonché un radicale cambio di mentalità (con conseguente attività di formazione e sensibilizzazione)

Tali cambiamenti comporteranno con alta probabilità impatti significativi in termini principalmenteorganizzativi e tecnologici. Una rivoluzione dei modelli organizzativi potrebbe essere causata anche dall'introduzione della figura del Data Protection Officer (o Responsabile della protezione dei dati).

Quali sono i principali cambiamenti?

Privacy da concezione formale a ruolo proattivo per i titolari delle imprese.

La Privacy non sarà più considerata un semplice adempimento burocratico, ma diventa un asset strategico da proteggere all'interno di tutte le organizzazioni.

• Perimetro: coinvolge tutti gli Stati dell'Unione Europea, mantenendo le singole legislazioni nazionali.
• Responsabilità: il titolare deve essere in grado di dimostrare di aver adottato le misure tecniche ed organizzative adeguate (art.24);
• Informative: rafforzato l'obbligo di fornire informative chiare e semplici. (art.8); 
• Diritto all'oblio: introdotto il diritto per l'interessato di ottenere dal titolare del trattamento l'oblio dei propri dati personali al ricorrere di determinate specifiche ipotesi (art. 17);
• Portabilità dei dati: introdotto il diritto della portabilità dei dati che consente di ricevere i propri dati e farli trasferire (art. 20); 
• Privacy by Design e by Default: adottare misure idonee a proteggere i dati sia dal momenti della determinazione dei servizi di trattamento (by design) e garantire solo il trattamento dei dati necessari per le finalità per cui sono trattati (by default). (art. 25); 
• Data Breach Notification: obbligo di notifica violazione dati personali entro 72 ore dal rilevamento dell'incidente (proveniente dall'interno o dell'esterno dell'azienda), sia al Garante, che al titolare dei dati, qualora impatti sulla libertà e sui diritti dell'interessato. (art. 33); 
• Privacy Impact Assessment: obbligo del titolare ad eseguire una autovalutazione del rischio e consultazione preventiva con l'autorità garante. (art. 35);
• DPO: introdotta la figura del Data Protection Officer per le realtà che ricadono in specifiche condizioni. (art. 37);

I tuoi dati sono davvero al sicuro? Proteggi il tuo Business!

Come si può capire, il nuovo Regolamento UE affronta una gamma molto ampia di temi e tocca aspetti che interessano molte altre leggi e regolamenti nazionali o internazionali. Le due aree che maggiormente ci interessano sono:

1. Capire l’impatto sulle aziende e come meglio gestirlo
2. Concentrarsi sui collegamenti e le sovrapposizioni tra Compliance e IT Security

Spesso nelle aziende è la funzione IT a prendere l’iniziativa, altre volte è la funzione legale, ma in entrambi i casi vi è il rischio di una visione molto parziale che si traduce, nel caso in cui siano coinvolti fornitori esterni, in richieste di offerte generiche, mal poste, senza alcun capitolato e senza una conseguente capacità di confronto delle offerte dei diversi fornitori.

Con l'obiettivo di evitare simili situazioni poco piacevoli per un'azienda e poter quindi aiutare e supportare le imprese a capire quali siano gli step giusti da intraprendere nel processo di comprensione della normativa e delle sue implicazioni, Progetto Dati, in collaborazione con Atlantica ed Apave, ti invita a partecipare ad unevento gratuito informativo e formativo per offrirti una panoramica sul tema ed una prospettiva strategicaper la tutela della tua azienda.

Le sanzioni

Il GDPR introduce pesantemente un approccio sanzionatorio talmente elevato che non consente di pensare “me la cavo con poco”. L'art.83 della normativa cita esplicitamente che le sanzioni pecuniarie possono arrivare a  20 milioni di euro, più il 4% del volume d'affari globale in caso di inadempienza al regolamento ed ai diritti citati nel Regolamento.

Evitate un approccio superficiale al tema "privacy"

L'obiettivo

L’adeguamento alla normativa europea obbligherà le imprese a sostenere costi anche importanti per alcune realtà più grandi, ma tutto questo può trasformarsi in un’opportunità che miri ad ottenere il miglior risultato possibile a favore delle aziende.

L'obiettivo che ci prefiggiamo è quello di supportare attivamente l'azienda  avvalendoci della consulenza di professionisti esperti e certificati Accredia e per il GDPR, oltre che ISO 27001, ossia la Certificazione di sistemi di gestione per la sicurezza delle informazioni.

La certificazione ISO/IEC 27001 costituisce infatti una garanzia per l’organizzazione e per il mercato cui si rivolge in termini di protezione dei propri dati di Business.
Ciò consente all'azienda di:

• attuare sistematicamente la politica di sicurezza informazioni;
• applicare una gestione globale dei rischi legati alla sicurezza delle informazioni e sistemi corrispondenti;
• attuare un monitoraggio efficace dei settori a rischio;
• definire ed attuare idonei obiettivi ed interventi di sicurezza;
• rispettare i principi legislativi e contrattuali;
• attuare metodiche generali (tecniche, come ad esempio Vulnerability assessment, test penetration ed organizzative);
• eseguire un’analisi sistematica dei rischi;
• dare garanzie a se stessa e a terzi.

Quali sono le attività da fare per adeguarsi al GDPR?

Le attività fondamentali per preparare la tua azienda a fronteggiare il cambiamento sono:

• comprendere come i nuovi obblighi previsti dalla normativa europea impatteranno sulle attività quotidiane;
• determinare quali sono e dove si trovano i dati sensibili e come sono messi in sicurezza;
• nominare un Data Protection Officer, dove necessario (una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi, il cui compito principale sarà l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy);
• rivedere tutte le normative sulla privacy;
• rivedere i processi di accesso ai dati, rettifica e cancellazione richieste dalle persone interessate.

CONSAPEVOLEZZA: E' opportuno conoscere tutte le vulnerabilità dell'azienda, avviando un'indagine approfondita di tutti i sistemi interni e/o esterni per avere piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati ed agevolare il processo di conformità.

MAPPATURA DEI DATI: Necessaria per analizzare la portabilità dei dati, i diritti di accesso a cancellazione. Per creare una buona mappatura è necessario scoprire e classificare i dati personali, le prime informazioni da proteggere. La conoscenza è alla base di GDPR, "Non puoi proteggere ciò che non conosci".

• Cosa si intende per "Dati Personali" (Personal Data)?
  • I dati personali sono tutte quelle informazioni che si riferiscono ad un persona identificata o identificabile. 
• Cosa si intende per identificabile?
  • E' la persona fisica che può essere individuata direttamente o indirettamente. In quest'ultimo caso, non si cosidera quindi "Dato Personale" solamente un'informazione univoca di un individuo (nome, emai, codice fiscale, ecc.) ma anche un insieme di dati generici, che se non correlati tra loro possono ricondurre ad uno specifico individuo.

MONITORAGGIO: E' fondamentale considerare il diritto delle persone di tracciare i dati di accesso, modificarli, cancellarli o trasferirli. Gli individui possono richiedere alle organizzazioni che possiedono dati sul loro conto, il diritto di rettificare, cancellare o trasferire dati. Il regolatore dovrebbe essre obbligato a rispondere alle richieste della persona, senza indebito ritardo ed al più tardi entro un mese. 

Perchè è importante? Le multe più alte di GDPR sono proprio per la violazione dei diritti della persona interessata, come per la mancata risposta o la fornitura di informazioni adeguate. L'interessato ha inoltre il diritto al risarcimento monetario dei danni. 

Le aziende hanno quindi bisogno di strumenti per dimostrare che le richieste vengono processate in modo tempestivo.

SICUREZZA: La messa in sicurezza dei dati personali non potrà più essere presa alla leggera! Rispetto alla normativa italiana prevista dal Garante della Privacy, il testo europea innalza significativamente il lievllo di protezione dei dati richiesto.

"Occorre attuare misure tecniche ed organizzative per garantire un livello di sicurezza adeguato". 

• Cosa si intende?
  • Il testo pone l'attenzione sui "rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati."

Tra le misure contemplate dalla norma approvata dalla Comunità Europea troviamo:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

NOTIFICA: Sarà importante segnalare le violazioni in modo tempestivo. Nel caso di una violazione dei dati personali, il responsabile del trattamento, senza indebito ritardo (entro e non oltre 72 ore dopo l'avvenimento) deve comunicare tale violazione all'autorità di vigilanza.

Come previsto dall'articolo 33, la comunicazione al Garante dovrà contenere:

• la descrizione della violazione;
• la natura dei dati interessati;
• la probabili conseguenze della violazione;
• le misure adottate o di cui si propone l'adozione per porre riedio alla violazione e/o per attenuare i possibili effetti negativi.

In sostanza "il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze ad essa relative, le sue conseguenze ed i provvedimenti adottati per porvi rimedio." Questa documentazione consentirà all'autorità garante di verificare il rispetto della norma da parte del titolare del trattamento dei dati.

Contattaci per ricevere maggiori informazioni in merito al GDRP e richiedi un preventivo per effettuare la Gap Analysis della tua azienda