GDPR

General Data Protection Regulation
QUADRO NORMATIVO

Riepilogo delle scadenze:

  • Regolamento 2016/679 (GDPR, General Data Protection Regulation): in vigore dal 25 maggio 2018
  • Direttiva 1995/46: in vigore, decade il 24 maggio 2018
  • Autorizzazioni generali del Garante: in vigore, decadono il 24 maggio 2018
  • Provvedimento Autorità Garante: non decadono, fino a quando saranno sostituiti, modificati, abrogati
  • Accordi internazionali su trasferimento di dati: non decadono, fino a quando saranno sostituiti, modificati, abrogati
  • Decisioni Commissione UE: non decadono, fino a quando saranno sostituiti, modificati, abrogati
  • Legge privacy 196/2003
  • Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
QUADRO SANZIONATORIO

 

Il GDPR prevede un regime sanzionatorio «importante», in termini di:

  • Sanzioni amministrative consistenti
  • Sanzioni penali demandate ai singoli Paesi e, nel caso italiano, ancora da definire

 

L’attività passata del Garante italiano non lascia spazio al dubbio che l’attività ispettiva sarà condotta:

  • 2014 – sanzioni per 5 milioni di Euro
  • 2015 – sanzioni per 3,5 milioni di Euro
  • 1° semestre 2016 – sanzioni per oltre 2 milioni di Euro

 

Le sanzioni sono il risultato dell’attività ispettiva del Garante.
L’attività prevedibilmente inizierà nella seconda metà del 2018.

 

Sanzioni amministrative pecuniarie fino a 10.000.000 € o per le imprese, fino al 2 % del fatturato mondiale, in caso di violazione di:

  • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 (privacy by design e default, contitolarità e responsabili, registro dei trattamenti, sicurezza del trattamento, notifica di violazione, comunicazione di violazione, valutazione d’impatto, designazione / posizione / compiti del responsabile,
  • gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43
  • gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4 (codici di condotta e monitoraggio)

 

Sanzione amministrativa pecuniaria fino a 20.000.000 euro per le imprese fino al 4% del fatturato mondiale, in caso di violazione di:

  • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 (principi del trattamento, liceità del trattamento, condizioni del consenso, dati particolari)
  • i diritti degli interessati a norma degli articoli 12 a 22 (informazioni, comunicazioni, trasparenza per esercizio dei diritti, diritto di accesso, diritto di rettifica, diritto all’oblio, diritto di limitazione, diritto alla portabilità, diritto di opposizione)
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli 44 a 49
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (trattamenti e libertà di espressione e di informazione, accesso pubblico a documenti ufficiali, numero di identificazione nazionale, dati relativi al rapporto di lavoro, dati di ricerca scientifica / storica / statistica, dati presso associazioni religiose)
AREE COINVOLTE
PILASTRI DEL GDPR

1. DATA BREACH

  • Procedura di Data Breach Monitoring & Incident Response, allargata a tutti gli attori interni ed esterni rilevanti
  • Attivazione di un effettivo Data Breach Monitoring e di capacità di Incident Response
  • Attività di awareness sul people e test preliminari delle possibilità di Data Breach

 

2. REGISTRO TRATTAMENTI E DATA PROT. IMPACT ASSESSMENT

  • Censimento e catalogazione, per ogni trattamento, di: dati del titolare e responsabili, finalità, categorie interessati e dati personali, tipologie comunicazione, trasferimento estero, termini cancellazione, descrizione misure sicurezza adeguate, valutazione necessità e proporzionalità dei trattamenti rispetto a finalità, valutazione portabilità, valutazione rischi per diritti e libertà degli interessati nonché per aspetti riservatezza integrità e disp.
  • Identificazione e macro-pianificazione delle misure necessarie e adeguate per la protezione dei dati

 

3. IMPLEMENTATION & OPERATION DI “MISURE GDPR”

Progettare e programmare in dettaglio, implementare e gestire e le misure previste per i rischi, includendo garanzie e misure di sicurezza garantire la protezione dei dati personali: adeguamento delle politiche di sicurezza, pseudonimizzazione e cifratura, capacità di assicurare RID sistemi e trattamenti, capacità di ripristinare tempestivamente disponibilità e accesso ai dati personali in caso di incidente, testare, verifica e valutare regolarmente efficacia delle misure di sicurezza

 

4. NOMINE, INFORMATIVE, CONSENSO

Documentazione inerente a nomine interne/esterne, informative, consenso, comprensivo di processo di preparazione dei contenuti differenziati per ambito, emissione, raccolta, aggiornamento, ricerca su istanza puntuale (es. esercizio diritto portabilità, cancellazione / oblio, ecc.)

 

5. COMUNICAZIONE ED ADVISORING

  • Comunicazione tra DPO, CIO, CISO e Resp. Privacy con il Board, il personale dipendente (via HR), il Garante, i Responsabili Privacy / Sicurezza e ICT e attività di Advisoring di alto profilo e operativo (Help Desk) GDPR.
  • Comunicazione con i clienti interessati in merito ai loro diritti di accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità

 

6. PRIVACY BY DESIGN

Coinvolgimento ab origine di Privacy & Security nell’ambito dei progetti di IT e Business Transformation che comportano nuove modalità tecniche e/o nuovi processi di trattamento dei dati, atto ad identificare le misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento

 

7. ISPEZIONI E SECURITY TEST/VAPT

Ispezioni di modalità di trattamento del dato manuali e informatici su tutta la catena del trattamento, dal cliente, fino al sistema informatico di supporto e agli amministratori di sistema, nonchè i siti, uffici, ecc dove sono eseguite le attività. Supporto esecutivo a ispezioni tramite penetration test

 

8. ORGANIZZAZIONE E STAFFING

Definizione ruoli e responsabilità: CIO, CISO, HR, Legal, Business Process Owner

 

9. FORMAZIONE

Data Breach people awareness, formazione specifica responsabilità GDPR

 

10. GDPR DOCUMENT MGMT SYSTEM

Sistema di raccolta e gestione centralizzata del ciclo di vita

FOCUS DELL’IT

Contesto organizzativo aziendale (mappa RACI)

Responsible (R): è colui che esegue ed assegna l’attività

Accountable (A): è colui che ha la responsabilità sul risultato dell’attività. A differenza degli altri 3 ruoli, per ciascuna attività deve essere univocamente assegnato.

Consulted (C): è la persona che aiuta e collabora con il Responsible per l’esecuzione dell’attività.

Informed (I): è colui che deve essere informato al momento dell’esecuzione dell’attività.

  • Dettaglio delle aree di responsabilità del CIO 
  • La visione del CIO deve essere orientata dal risultato dell’analisi dei rischi (ex art. 32 GDPR) come punto focale di riferimento per ogni azione
  • Secondo una logica progressiva da minaccia a contromisura.
Il CIO divento protagonista sia come erogatore e garante di soluzioni e servizi che come facilitator. Il CIO è di fatto impegnato design, implementazione, gestione di elementi in parte innovativi:

  • Trasparenza
  • Portabilità
  • Oblio
  • Accountability
  • Data breach
  • Security Monitoring
  • Security Incident Response
  • Pseudonimizzazione, anonimizzazione, cifratura
  • Access Control
  • Privacy by design and default
  • Document Management System
  • Test
TRASPARENZA

Il GDPR richiede che le informazioni destinate al pubblico siano facilmente accessibili e comprensibili, in particolare per quel che riguarda le pubbliche amministrazioni. Non ci devono essere colli di bottiglia tecnologici ma le soluzioni devono essere efficienti e SCALABILI

PORTABILITÀ 

Deve essere garantita la possibilità di ricevere in formato strutturato, di uso comune e leggibile digitalmente i propri dati personali.
E conseguentemente e di richiederne il trasferimento se del caso ad altri enti, anche direttamente tramite soluzioni tecnologiche adeguate che presuppongono il mantenimento della qualità dei dati e la loro intrinseca coerenza

OBLIO 

La normativa UE consente la possibilità, a richiesta del titolare, di fare cancellare dalla rete informazioni che hanno esaurito la loro utilità pubblica od il loro legittimo valore informativo per i pubblico a tutela dei singoli interessati. Quindi deve essere prevista la disponibilità di strumenti di ricerca e cancellazione effettiva del dato la cui detenzione implica una diretta e non disconoscibile responsabilità del gestore

ACCOUNTABILITY

Con il GDPR il dato non può più essere un oggetto privo di un titolare oppure assegnato a qualcuno di indefinito. Il dato ha un responsabile che non può disconoscerlo o ripudiarlo e di conseguenza non può non assumersi la responsabilità della sua eventuale cattiva gestione. Il dato deve essere quindi gestibile nel suo percorso tramite opportuni metodi di tracciatura che permettano di risalire alla sua origine ed accertare le modalità del suo utilizzo.

DATA BREACH 

La perdita o la manomissione di dati personali deve essere accertata, gestita ed essere comunicata alle autorità garanti nel più breve tempo possibile. In tali situazioni il CIO assume un ruolo nevralgico in quanto il GDPR non concede deroghe e prevede per la mancanza di comunicazioni sanzioni molto pesanti. Diventa fondamentale disporre di strumenti di monitoraggio e di reazione (Security Monitoring e Incident Response) ad ogni tipologia di incidenti e di altrettanto validi metodi di comunicazione e raccolta delle informazioni.

SECURITY MONITORING

Non è possibile pensare alla privacy senza la security che di fatto ne costituisce il presupposto. Sistemi di monitoring e di warning permettono di accertare possibili tentativi di intrusione e di tracciare gli eventi di qualsiasi natura che impattano sulla funzionalità dei sistemi. Per il GDPR si tratta di un punto chiave per il quale il CIO è il principale responsabile.

SECURITY INCIDENT RESPONSE 

Non è inoltre possibile garantire la security, e quindi la privacy, ad un livello ottimale senza una qualche soluzione di incident response che fornisca un servizio di cybersecurity e di protezione del data center ed in grado di gestire la situazione dopo il verificarsi di una data breach. Il GDPR insiste anche su questo punto rendendo obbligatorio il reporting e l’analisi delle cause oltre che la notifica alle autorità preposte. Quindi oltre alla disponibilità di un sistema di monitoraggio e warning, procedure e workflow automatizzati di gestione degli incidenti diventano le armi più idonee per controbattere il verificarsi di incidenti informatici dolosi o meno.

PSEUDONOMIZZAZIONE, ANONIMIZZAZIONE, CIFRATURA

L’esigenza che il dato sia fruibile ad un destinatario determinato implica che questo debba essere protetto in certi casi non solo con sistemi che agiscano sulla sua accessibilità ma manche sulla sua utilizzabilità da parte di chi ne viene in possesso. Un soggetto può essere autorizzato ad usare un dato ma non a leggerlo come nel caso di set di dati di produzione per il test di nuovi software. Sono quindi necessari strumenti tecnici che consentano rendere anonima l’informazione, ad esempio sostituendo tutti dati anagrafici con altri inventati, pur mantenendone la validità funzionale. A questo si aggiunge l’importanza di soluzioni di cifratura dei dati in storage per rendere inutile ai terzi dati eventualmente sottratti o persi per qualsiasi ragione.

ACCESS CONTROL 

Un dato non raggiungibile è di fatto protetto. Il CIO deve curare l’implementazione di idonei controlli che garantiscano un accesso discrezionale e legittimo a sistemi e dati secondo una logica di autorizzazione e competenza. I sistemi di controllo devono essere costantemente aggiornati per tenere il passo dell’evoluzione continua delle possibili minacce che possono sfruttarne i buchi, le incongruenze od anche solo la loro naturale obsolescenza. I sistemi di gestione avanzata degli accessi sono in grado di fronteggiare gli intrusi solo se costantemente rinforzati.

PRIVACY BY DESIGN

Il GDPR impone che ad ogni nuovo progetto o sviluppo, ove esista un possibile impatto sui dati personali o critici, i siano applicati principi della privacy. Questo implica una analisi sia preventiva che continuativa degli elementi di progetto in ottica privacy e quindi una valida e completa procedura o strumento di gestione del ciclo di vita del progetto che dovrà essere compliant al GDPR sia a livello di prodotto finale sia in fase di pianificazione ed esecuzione. Non sarà più possibile prescindere da questa visione neppure per l’aggiornamento di prodotti vecchi ma comunque rilevanti nell’operatività aziendale.

PRIVACY BY DEFAULT

Si tratta essenzialmente di un problema culturale. Il GDPR richiede sostanzialmente che la missione aziendale includa la garanzia del rispetto dei principi fondamentali relativi alla privacy. Oltre che tramite la diffusione di norme idonee, utilizzando un valido sistema di Document Management, questo è possibile erogando periodiche sessioni di training e per farlo in modo efficace uno strumento di presentazione o soluzioni di self pacing possono essere un aiuto molto importante.

DOCUMENT MANAGEMENT SYSTEM

Infine il GDPR richiede alcuni documenti obbligatori o consigliati e che impattano direttamente il ruolo del CIO e vanno oltre la pura valenza normativa. Oltre a quanto previsto dal D.Lgs. 196, alla Policy di privacy ed alla necessaria Analisi dei rischi, sono previsti Il Registro dei Trattamenti, la DPIA (Data Protection Impact Analysis). Si tratta di documenti complessi che integrano il set di documentazione che già dovrebbe essere disponibile. Uno sforzo per dotarsi di un sistema di gestione documentale, che comprenda possibilmente anche l’utilizzabilità di modelli e template, è sicuramente opportuno e importante. Non solo gestire l’archivio ma anche per garantire qualità, scadenza ed aggiornamento dei documenti stessi.

TEST

Il GDPR prevede una serie di requisiti che implicano la necessità di dotarsi di strumenti tecnologici adeguati ed in grado di aggiornarsi ed evolversi con il divenire dell’ambiente ed il manifestarsi di nuove e più insidiose minacce. Oltre ad avere tutti od alcuni di questi strumenti, è imprescindibile che in parallelo ci sia il training del personale nonché il testing (sia di funzionalità che readyness e qualità) periodico delle soluzioni e l’analisi dei relativi risultati. Il testing deve essere periodico e strutturato secondo un percorso logico aderente ad eventuali attacchi che l’azienda si potrebbe trovare ad affrontare con maggiore probabilità. Un prodotto di workflow e pianificazione può aiutare molto in questo senso, in particolare a definire e gestire una griglia di test periodici mirati a coprire realtà estese e complesse.

VIOLAZIONE DEI DATI E COSTI

“Non chiedetevi se possono attaccarvi o meno… piuttosto quando questo succederà”

ESEMPIO COSTI DI DATA BREACH

  • Azienda che fattura 5 mln e non si adegua la GDPR e non dispone di adeguato piano di DR
  • Attacco Hacker tipo CryptoLocker o Petya che cripta tutti i dati nei server aziendali rendendoli irrecuperabili compresi i backup di rete
  • Sanzione 4% fatturato 200.000 Euro
  • Ipotesi di perdita di 2 anni dei dati gestionali ipotizzando 6 mesi impiegato 3k euro à 18k euro
  • Perdita in produttività aziendale e fatturato a causa del Data Breach ipotizzando 1% di fatturato 50k Euro
  • Totale sanzione :
    • circa 300k Euro
    • danno immagine sul mercato
    • clima stress creato in azienda
    • implicazioni penali dovute all’innosservanza delle normative Privacy
CONCLUSIONI

  • i dati non possono essere di “NESSUNO” (Titolare e Responsabile)
  • incarico alle singole risorse di trattare quel dato che devono essere adeguatamente formate su compiti e responsabilità di trattamento
  • registro dei trattamenti e nomine
  • rischi fisici e logici di accesso ai dati
  • modifiche per oblio
  • nomine esterne addendum ai contratti
  • privacy by design e privacy by default ( introduzione cultura aziendale privacy e sviluppi in questa ottica )
  • procedura di Data Breach e comunicazione relativa
  • aggiornamenti periodici e formazione

A cura dell’Ing. Giovanni Monferdini 

Il GDPR, sigla di General Data Protection Regulation, è il regolamento europeo su privacy e dati che è diventato operativo il 25 maggio 2018.
Finito il semestre di avvio, può portare a multe fino a un massimo di 20 milioni o del 4% sui ricavi annui.

Esistono 2 versioni proposte da 2-TORRI.com:

  • Versione Tool (solo il Tool per la richiesta consensi)
  • Versione Full (anche tutta la documentazione necessaria, con le informative) 

Entrambe le versioni comportano l’acquisto della piattaforma di Marketing BUSINESSWIN.it per l’invio di mail/Sms per i consensi

TOOL

  • Tool GDPR per gestione automatizzata dei consensi e dei rinnovi dei consensi
  • Landing GDPR Compliant (1 per account) con le informative fornite
  • Spazio Cloud GDPR Compliant per salvare i dati tracciati degli utenti («CUSTOMER DATA»)
  • Cancellazione automatica dal Customer Data in caso di non conferma
  • Piattaforma Marketing BUSINESSWIN.it per un INBOUND MARKETING 4.0

FULL

  • GDPR Tool

  • Documento di gestione della privacy

  • Censimento degli incaricati e delle banche dati

  • Analisi sui rischi dei dati all’interno dello Studio/Azienda

  • Mappatura degli strumenti elettronici e degli uffici

  • Predisposizione delle misure di sicurezza

  • Predisposizione del piano di emergenza

  • Disciplinare sull’utilizzo della posta elettronica e di internet

  • Modulistica nomina incaricati interni

  • Modulistica nomina responsabile del trattamento

  • Modulistica nomina responsabili esterni del trattamento

  • Modulistica per l’esercizio dei diritti da parte degli interessati

  • Modulistica per la notifica al garante per eventuali data breach (violazioni del dato)

  • Piano formativo per incaricati e responsabili

  • Registro dei trattamenti

    In più CYBER SECURITY:
    1° Livello: Analisi delle minacce informatiche: malware, torrent, deepweb, data breach, vulnerabilità.
    2° Livello: Analisi dei rischi informatici (ISO 27005) e piano di trattamento.





Per maggiori informazioni leggi l'informativa dei dati personali.

Hai bisogno di aiuto?
Share This