Guida al nuovo Regolamento europeo sulla protezione dei dati (GDPR)

Il nuovo Regolamento europeo sulla protezione dei dati fa risultare nuovi obblighi per tutti i soggetti, pubblici e privati, che trattano e gestiscono dati personali di cittadini europei. Nuovi obblighi che aziende e Pubbliche Amministrazioni dovranno tradurre in cambiamenti da apportare al proprio interno, a livello tecnologico e di policy. In seguito i dettagli.

GDPR UE

I documenti del GDPR

Lo scorso 13 dicembre 2016 il Gruppo dei Garanti UE (WP29) ha pubblicato tre documenti contenenti indicazioni e raccomandazioni su importanti novità del Regolamento, in vista della sua applicazione:

  1. il diritto alla portabilità dei dati;
  2. ha istituito il DPO, ovvero il responsabile per la protezione dei dati;
  3. ha definito L’Autorità capofila.

Con il nuovo GDPR, il legislatore europeo, intende rafforzare la tutela dei dati personali dei cittadini dell’Unione Europea di fronte ai nuovi rischi di un mondo in forte evoluzione digitale.

1. Il diritto alla portabilità dei dati nella legge sulla privacy

In capo all’interessato, nel primo documento, troviamo:

  • il diritto alla portabilità dei dati: la possibilità di richiedere al titolare una copia dei dati, oggetto del trattamento;
  • la semplice trasmissione dei dati: l’interessato deve essere in grado di trasmettere i dati ad un altro titolare del trattamento, senza alcun impedimento al trasferimento.

Il titolare è tenuto a fornire all’interessato la copia dei dati, resa in un formato idoneo a soddisfare alcuni requisiti.

Copia dei dati e formato da utilizzare

I titolari del trattamento dovrebbero offrire diverse implementazioni del diritto alla portabilità dei dati. I dati devono soddisfare le seguenti proprietà:

  • essere resi in un formato “strutturato”, “di uso comune” e “leggibile da dispositivo automatico”. Non in formato cartaceo, ma digitale. (art.20 del Regolamento);
  • il formato mediante il quale i dati oggetto del trattamento sono forniti all’interessato dovrebbe essere interoperabile, per consentire la piena portabilità. (art n. 68 del Regolamento).

2. Il ruolo del responsabile per la protezione dei dati (DPO, Data Protection Officer)

Tale diritto determinerà quindi una notevole semplificazione del processo mediante il quale l’interessato può copiare, spostare o trasmettere i propri dati da un Titolare del trattamento ad un altro.

Il DPO (Responsabile della Protezione dei dati) è un professionista, interno o esterno all’azienda, che deve avere competenze giuridiche, informatiche, di risk management, di analisi dei processi.

Il DPO ha il compito di facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dal nuovo Regolamento Europeo. Affinché il DPO possa assolvere le proprie funzioni, è necessario:

  • che venga consultato ogni qualvolta debbano essere adottate decisioni che comportino implicazioni in tema di protezione dei dati personali;
  • che tale figura sia posta nelle condizioni di operare in modo del tutto indipendente e non si trovi, tra l’altro, in una situazione di conflitto d’interessi rispetto ad eventuali posizioni ricoperte all’interno della medesima organizzazione.

3. L’Autorità capofila

Il terzo e ultimo parere pubblicato dal Gruppo di Lavoro art.29 fornisce indicazioni essenziali per l’individuazione dell’Autorità capofila (“Lead Supervisory Authority”) in caso di trattamento transfrontaliero.

Come ricordato dal Garante italiano, l’Autorità capofila “deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento)”.

GDPR: i cambiamenti previsti

I principali cambiamenti previsti dalla riforma includono:

  • il diritto di conoscere quando i dati di un individuo sono stati violati.
    Le aziende e le organizzazioni devono segnalare, all’autorità di supervisione nazionale per le violazioni dei dati, gli individui in pericolo. Dovranno comunicare, nel più breve tempo possibile, le violazioni ad alto rischio.
  • Migliorare l’applicazione delle regole.
    Le autorità per la protezione dei dati dovranno essere in grado di multare le imprese non conformi alle normative EU, fino al 4% del loro fatturato annuo totale. Le sanzioni amministrative non sono obbligatorie, nel caso si decida di imporle dovranno essere decise caso per caso.
  • Un continente, una legge.
    Un’unica legge europea per la protezione dei dati. Il Regolamento si applica anche alle aziende situate fuori dall’Unione Europea che operano nel mercato comunitario, offrono servizi e prodotti ai cittadini europei (inclusi i beni e i servizi gratuiti), e controllano il comportamento degli individui dell’Unione Europea.
  • Protezione dei dati in fase di progettazione e in modalità predefinita.
    “La protezione dei dati by design” e “la protezione dei dati by default” ora sono elementi essenziali nelle regole di protezione dei dati dell’Unione Europea. La garanzia sulla protezione dei dati sarà prevista nei prodotti e nei servizi già dalle prime fasi del loro sviluppo. Le impostazioni predefinite per la tutela della privacy saranno la norma.

I dati riservati

Per rafforzare la protezione dei dati, l’Unione Europea, sta rendendo obbligatorio per le aziende proteggere i dati riservati. Questi dati sono definiti come: “qualsiasi informazione che identifichi o che permetta di identificare una persona fisica a cui ci si riferirà in seguito come ‘soggetto dei dati’. Una persona identificabile può essere identificata mediante un numero identificativo o da uno o più fattori specifici relativi alla sua identità fisica, psicologica, mentale, economica, culturale o sociale”.

Questa ampia definizione si estende ai documenti più semplici che riguardano:

  • i clienti;
  • gli utenti;
  • il personale;
  • gli studenti;
  • ogni altro documento relativo all’individuo.

Cosa dice il Regolamento sulla protezione dei dati?

L’ Articolo 32, afferma che considerando:

  • lo stato dell’arte;
  • i costi di implementazione e la loro natura;
  • la portata;
  • il contesto e le finalità del trattamento dei dati;
  • le variabili legate ai rischi per i diritti;
  • la libertà delle persone fisiche.

Il sistema di controllo e trattamento dei dati verrà implementato con misure tecniche e organizzative per assicurare un livello di sicurezza adeguato ai rischi, che include a seconda dei casi:

  1. l’utilizzo di pseudonimi e la crittografia dei dati personali;
  2. la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  3. la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici;

un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.

Quali sono le regole per la segnalazione della violazione dei dati?

L’articolo 33 prevede la notifica di una violazione dei dati personali all’autorità di vigilanza. Stabilisce che l’autorità venga avvisata, ove fattibile, entro e non oltre le 72 ore dal momento in cui l’organizzazione in questione viene a conoscenza della violazione stessa. Qualsiasi notifica oltre le 72 ore deve essere accompagnata da una motivazione che ne giustifichi il ritardo.

L’articolo 34 si riferisce alla comunicazione della violazione dei dati personali al soggetto interessato e afferma che:

  1. nel caso in cui la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone, il controllore dovrà comunicarla al proprietario dei dati senza indebito ritardo.

Tuttavia, prosegue affermando che la comunicazione non sarà richiesta se viene rispettata almeno una delle seguenti condizioni:

  • il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative e queste misure sono state applicate ai dati personali oggetto della violazione. Si fa riferimento alle tecnologie che rendono i dati personali illeggibili per qualsiasi persona non autorizzata ad accedervi, come ad esempio la crittografia;
  • il controllore ha adottato successive misure tali da assicurare che l’elevato rischio per i diritti e le libertà delle persone non si possa concretizzare;
  • comporta uno sforzo sproporzionato. In questo caso ci sarà una comunicazione pubblica o di natura simile in grado di informare le persone interessate in maniera altrettanto efficace.

Alcune ricerche hanno dimostrato che, nelle precedenti violazioni dei dati, le conseguenze più gravi sono ai danni dell’organizzazione coinvolta.

Anche in questo caso, è chiaro che la crittografia viene considerata una garanzia sufficiente a evitare questa situazione e le conseguenze per la reputazione dell’azienda.

Quali sono le responsabilità del Titolare?

Nei compiti e responsabilità del Titolare si fa menzione degli obblighi già esistenti, aggiungendo:

  • l’implementazione di policy relative alla tutela dei dati personali (procedure) quando proporzionato al trattamento;
  • la prova della compliace normativa attraverso l’adozione e il rispetto di codici di condotta.

Il Regolamento come scoraggia i trasgressori?

L’articolo 83, “Condizioni generali per l’imposizione di sanzioni amministrative”, afferma che:

punto 4 dell’art.83: le infrazioni sono soggette a sanzioni amministrative fino a 10.000.000 di euro, o in caso si tratti di un’azienda, fino al 2% del suo fatturato totale a livello mondiale riferito all’anno precedente, a seconda di quale sia l’importo più alto:

a. gli obblighi del titolare del trattamento ai sensi degli Articoli 8, 11, dal 25 al 39 e 42 e 43. compresi gli articoli riguardanti le regole sulla comunicazione delle violazioni dei dati personali – l’ Articolo 33 e Articolo 34, e il punto cinque dell’Articolo 83 inoltre affermano che:

punto 5: le infrazioni alle seguenti disposizioni saranno oggetto di sanzioni amministrative fino a 20.000.000 euro, o nel caso si tratti di un’azienda, fino al 4% del suo fatturato totale a livello mondiale riferito all’anno precedente, a seconda di quale sia l’importo più alto:

d. i principi base del trattamento dei dati, incluse le condizioni per il consenso, ai sensi degli Articoli 5, 6, 7 e 9;

Dove all’Articolo 5 “Principi relativi al trattamento dei dati personali” si afferma che:

  1. i dati personali dovranno essere: trattati in modo da garantirne un’adeguata sicurezza – inclusa la protezione dal trattamento non autorizzato o illegale nonché dalla perdita accidentale, distruzione o danno – utilizzando appropriate misure tecniche o organizzative (integrità e riservatezza).

Questo chiaro intento di penalizzare e scoraggiare i trasgressori entrerà in vigore in meno di due anni, quindi è arrivato il momento di agire.

Alcuni paesi sono già al lavoro. Il Senato Olandese ha approvato una legge a Maggio 2015 che modifica l’attuale legge sulla protezione dei dati per anticipare l’adozione del GDPR, facendo passare l’Olanda da paese con un sistema di attuazione tra i più deboli d’Europa a uno di quelli che tra i più forti. Il Regolamento entrerà in vigore in tutti i 28 stati membri da Maggio 2018.

Le misure tecniche da adottare nelle imprese per adeguarsi al GDPR

Il GDPR, Regolamento generale sulla protezione dei dati, obbliga le aziende ad implementare processi e politiche volte a dare alle persone un maggiore controllo sui propri dati personali.

L’art.32 del GDPR stabilisce l’esigenza di garantire “la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione.

Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e la libertà delle persone fisiche, il responsabile Titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati è conforme al Regolamento.

Quali misure di sicurezza cita espressamente il Regolamento?

Il Regolamento cita la crittografia come misura tecnica appropriata per raggiungere la sicurezza nel trattamento dei dati. La crittografia rappresenta un punto centrale nella tutela delle informazioni sensibili, proteggendo i dati archiviati o trasferiti attraverso:

  • server;
  • computer portatili;
  • dischi e supporti rimovibili.

In seguito i dettagli.

Cos’è e come funziona la crittografia?

La crittografia è il processo di codifica delle informazioni tale da impedire a parti non autorizzate di leggerle. Il livello di complessità della crittografia viene identificato con la lunghezza della chiave (bit) e con l’algoritmo di codifica utilizzato. Il modo più semplice per riuscire a superare la crittografia è tentare tutte le chiavi possibili.

Questa pratica è nota come attacco brute force, ma l’introduzione di chiavi più lunghe ha reso questo approccio inefficace. Per ridurre i rischi di attacco, si dovrebbe:

  • usare un valido prodotto indipendente per la crittografia;
  • utilizzare una avanzata soluzione anti-malware che venga aggiornata in modo continuo.

Una buona soluzione per la crittografia deve essere:

  • semplice da implementare;
  • facile da utilizzare;
  • scalabile, in modo che possano essere aggiunte funzionalità avanzate in caso di necessità.

Infine è opportuno scegliere una soluzione che non richieda la re-installazione per gli aggiornamenti o i rinnovi. La soluzione deve prevedere una licenza d’uso perenne con manutenzione e supporto annuali.

Cos’è e come funziona l’autenticazione a due fattori?

L’autenticazione a due fattori è un sistema di protezione dei dati che può essere usato per migliorare la riservatezza dei dati. Il sistema genera una one-time password univoca. La password sarà richiesta, oltre alla password classica, per verificare l’accesso alla rete.

E’ consigliabile che il programma di autenticazione sia accessibile da qualsiasi dispositivo come smartphone o tablet. Il personale, al momento di accedere da remoto alla rete aziendale, riceverà una password one-time sul cellulare. Questa password  verrà usata per completare e rafforzare l’abituale processo di autenticazione. Come risultato, i dati e le risorse aziendali saranno protette da ogni forma di cybercrime.

Un’autenticazione a due fattori (o autenticazione a più fattori o strong authentication) è un metodo che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale. Fonte: Wikipedia 

Secure Authentication [parte tecnica]

Secure Authentication fornisce due meccanismi di autenticazione per l’accesso alle applicazioni:

  • 1 meccanismo di autenticazione: l’utente dovrà fornire le credenziali di accesso in formato account e password;
  • 2 meccanismo di autenticazione: l’utente dovrà fornire un ulteriore OPT (one time password).

La presente comunicazione ha lo scopo di tenere informato il cliente sul nuovo Regolamento europeo e sulle soluzioni per la protezione dei dati. Non vuole sostituirsi ai veri esperti in materia.

Ci impegneremo a mantenere aggiornata la comunicazione.

Fonti: Garante per la protezione dei dati personali – Gazzetta ufficiale dell’unione europea.

Contattaci per proteggere i tuoi dati

IThesia Sistemi aiuta le aziende a valutare la soluzione più adatta per proteggere i dati.

Offriamo consulenza per rispettare la normativa in materia di privacy, come il nuovo Regolamento europeo sulla Protezione dei Dati.

Il GDPR sarà applicato, in tutti i Paesi UE, a decorrere dal 25 maggio 2018.

    Nome*

    E-Mail*

    Oggetto

    Messaggio

    Ho letto e accetto la Privacy Policy ed i Termini e Condizioni.

    Accetto di ricevere materiale informativo in relazione al servizio offerto.
    SiNo