GDPR, questo sconosciuto…

Scritto da -

GDPR, questo sconosciuto (e cosa possiamo fare per voi)

Il 25 maggio 2018 entrerà in vigore il nuovo GDPR, Regolamento UE 2016/679, pubblicato sulla Gazzetta Europea due anni fa, tempo concesso a tutti i Titolari di Trattamenti di dati personali per adeguarsi a quanto previsto dal Regolamento stesso.

L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di ciò che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altresì onorare il loro "diritto all’oblio", inteso come il diritto ad avere i propri dati personali eliminati dall’azienda che li detiene, su richiesta.

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformità continua al GDPR, nominando una persona responsabile delle questioni GDPR per l’azienda (il cosiddetto “DPO”, ovvero "responsabile della protezione dei dati"), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all’interno dei confini fisici della UE.

Purtroppo, non ci saranno e non possono esserci deroghe a tale data per la natura dello strumento giuridico utilizzato, il Regolamento appunto, che non deve essere recepito dallo Stato membro, ma che entra automaticamente in vigore alla data stabilita.

Se nella vs azienda non avete fatto ancora nulla, in effetti siete precisamente nelle stesse condizioni del 93% delle aziende italiane (fonte Garante Privacy del gennaio 2018).

Il rischio è quello di essere multato con una sanzione pecuniaria di 10 milioni di euro oppure del 2% del tuo fatturato globale annuo, a seconda di quale sia il maggiore, per la mancata conformità al GDPR!

La scadenza del 25 maggio 2018 per la conformità GDPR è imminente e le sanzioni pecuniarie per la mancata conformità sono consistenti; tuttavia ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE può adottare oggi le misure che garantiscono di poter essere preparati.

ICOA ha predisposto un pacchetto di consulenza completo per i suoi Clienti, che affronta sia gli aspetti tecnici che legali di questi adempimenti, consentendo di risolvere in modo rapido ed efficace le prescrizioni necessarie. Iniziate fissando un appuntamento con il nostro Privacy Officer, che svolgerà assieme ad uno dei nostri Senior IT Manager la valutazione delle azioni necessarie alla tua azienda per adeguarsi a quanto richiesto dal GDPR. Basta una mail all’indirizzo [email protected], indicando in oggetto “consulenza GDPR”.

Le principali attività che verranno svolte dal nostro team comprendono:
1 - verifica della corretta applicazione dei principi di trattamento dei dati (Capo II del Regolamento);
2 - verifica della coerenza dei sistemi e degli strumenti informatici impiegati con i diritti dell’interessato (Capo III del Regolamento);
3 - verifica del rispetto degli obblighi generali del Titolare del Trattamento (Capo IV del Regolamento), tra cui:

  • art. 30 Redazione del registro dei Trattamenti
  • art.32 Rilevazione del livello di rischio dei Trattamenti ed indicazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio
  • artt 33 e 34 definizione del processo di Notifica di una violazione dei dati personali all'autorità di controllo ed all’interessato
  • artt 37-38-39 valutazione della necessità di Designazione del responsabile della protezione dei dati e presa in carico del ruolo

4- formazione degli incaricati al trattamento con il servizio Kaspersky Awareness On-line Training, svolgendo il ruolo di amministratore del servizio.

ICOA si propone anche come DPO, grazie al suo team di esperti, per le Aziende che non hanno il personale idoneo a tale incarico; il DPO infatti deve essere “esterno alle pratiche di trattamento dei dati sensibili”, come prescritto dal Regolamento, in quanto fra le altre cose vigila sulla effettiva efficacia dei provvedimenti dell’Azienda e sulla implementazione delle pratiche previste dalla stessa.

Se avete clienti o partner che operano all’interno dei confini della UE, è bene iniziare subito ad informarsi sul GDPR e ad adottare in fretta provvedimenti che consentano alla vostra azienda di garantire la conformità al regolamento, o viceversa prepararvi a sostenere pesanti sanzioni pecuniarie che potrebbero avere un impatto negativo sulla capacità della vostra azienda di svolgere la sua attività nella UE in modo redditizio.

L’obiettivo principale del GDPR è proteggere i diritti di proprietà individuale dei cittadini UE e, rispetto alla precedente legislazione UE sulla privacy, la nuova legislazione amplia sensibilmente la definizione di ciò che costituisce i dati personali e privati fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale. Con il GDPR le aziende devono ottenere il consenso esplicito di una persona prima di poter utilizzarne i dati personali e devono altresì onorare il loro "diritto all’oblio", inteso come il diritto ad avere i propri dati personali eliminati dall’azienda che li detiene, su richiesta.

Le aziende sono anche tenute a soddisfare diversi altri requisiti per dimostrare la propria conformità continua al GDPR, nominando una persona responsabile delle questioni GDPR per l’azienda (il cosiddetto “DPO” ovvero "responsabile della protezione dei dati"), segnalando qualsiasi incidente di violazione della sicurezza e archiviando i dati personali all’interno dei confini fisici della UE. Quest’ultima prescrizione rispecchia la preoccupazione della UE per il fatto che gli altri paesi al di fuori della UE possano non disporre di standard altrettanto elevati per la privacy dei dati dei cittadini e che i dati archiviati al di fuori della UE siano maggiormente a rischio di vigilanza da parte di agenzie governative di spionaggio e criminali.

 

Qualche concetto utile alla comprensione del GDPR, attraverso la lente della Sarbanes-Oxley (SOX)

Per i professionisti IT di una certa generazione, le sfide presentate dalla conformità al GDPR potrebbero riportare alla memoria la Sarbanes-Oxley Act (SOX) degli Stati Uniti dei primi anni 2000. Come il GDPR, la SOX era un nuovo rigido regime normativo imposto sulle aziende di ogni tipo e dimensione.

Benché fosse stato imposto unilateralmente dagli Stati Uniti per le aziende attive all’interno dei confini federali, riguardava un mercato talmente esteso che anche le aziende di tutto il mondo ne sono state interessate. Come ha fatto la UE con il GDPR, gli Stati Uniti avevano ideato una tabella di marcia aggressiva per la conformità e ne hanno assicurato l’applicazione con consistenti sanzioni pecuniarie. E proprio come sta succedendo per il GDPR, la SOX ha generato molta confusione e ansia tra le aziende sotto la sua lente d’ingrandimento, specie per quanto riguarda i costi della conformità.

Per altri versi invece, i professionisti IT nel 2017 e 2018 hanno vita assai più facile rispetto ai loro omologhi degli inizi del XXI secolo. Ad esempio, oggi le aziende hanno a disposizione una tecnologia più efficace per supportare i requisiti di segnalazione e per dimostrare alle autorità di avere messo in atto le politiche, i controlli e le procedure richiesti a supporto della conformità GDPR. I quadri di controllo di governance, gestione del rischio e conformità si sono sensibilmente evoluti negli ultimi 10 anni, come pure la disciplina della gestione del ciclo di vita delle politiche.

Grazie, in parte, a normative come la SOX e la Direttiva UE 1995 sulla protezione dei dati, le aziende hanno una maggiore padronanza della valutazione dell’impatto sulla privacy e della governance dell’accesso ai dati. Oggi sono disponibili strumenti sensibilmente migliorati e maggiormente automatizzati per il monitoraggio, la segnalazione e la mitigazione della violazione dei dati.

Ma anche il mondo ha subito un’evoluzione dai tempi della SOX e in modi che complicano la conformità GDPR L’archiviazione dei dati ha subito un’accelerazione straordinaria in termini di velocità, volume, diversità dei media (compreso lo storage cloud) e complessità.
L’universo delle minacce alla sicurezza IT dei dati da parte di criminali e aggressori istituzionali è a sua volta diventato infinitamente più sofisticato e minaccioso.

Le implicazioni della conformità GDPR interessano la valutazione dell’impatto sulla privacy, la governance dell’accesso ai dati e le notifiche e la risoluzione delle violazioni dei dati, tutti argomenti che non verranno trattati in questa sede. Questo documento si concentra invece alla conformità GDPR intesa specificamente nel suo legame con lo storage sicuro e con la protezione dei dati attivi, comprese archiviazione ed eliminazione dei dati.

Terminologia generale del GDPR

Per comprendere in che modo il GDPR si lega all’archiviazione e alla protezione dei dati, è utile assimilare la seguente terminologia di base:
Soggetto interessato - Un cittadino della UE identificabile tramite i propri dati personali. L’interessato può essere un consumatore che effettua un acquisto online, il paziente di un sistema sanitario, un cittadino che accede ai sevizi della pubblica amministrazione online, un utente delle applicazioni di social media e in generale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi.
Titolare del trattamento - Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività. Alcune esempi sono le aziende che riceve informazioni su ordini online, indirizzi e carte di pagamento dai clienti o i fornitori di servizi sanitari che conservano la documentazione dei pazienti. (Vedere di seguito per assistenza nel determinare se la propria attività si possa configurare come responsabile del trattamento o come titolare del trattamento.)
Responsabile del trattamento - Un’attività commerciale come un fornitore di servizi cloud che si configura come contraente per un titolare del trattamento, ad esempio un’altra azienda che offre servizi ai cittadini UE e che acquisisce dati sensibili sulle persone. Gli esempi includono aziende che offrono servizi di hosting delle applicazioni, fornitori di storage e fornitori di servizi cloud come il backup.
Dati personali - "Qualsiasi informazione riguardante una persona fisica identificata o identificabile." La definizione fornita dalla UE è più ampia di quella di altri governi e include nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale ecc. del cittadino UE.
Diritto alla cancellazione - Il diritto di ogni cittadino UE "di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali". Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Su questo punto in particolare, permane una certa ambiguità. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup (cosa che può essere problematica in un supporto di backup seriale come il nastro)? Cosa succede quando una richiesta di cancellazione dei dati va in conflitto con le politiche di conservazione dei dati di un’azienda a fini di archiviazione o legali?
Violazione dei dati personali - "La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati." Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’"autorità di controllo" entro 72 ore dal momento in cui ne sono venute a conoscenza.

Come individuare la propria collocazione nella gerarchia GDPR

Al fine di comprendere i propri obblighi ai sensi del GDPR, occorre innanzi tutto determinare se la propria attività possa essere inquadrata come titolare del trattamento o come responsabile del trattamento, tenendo conto delle seguenti tre domande:

  1. Nella tua azienda vengono conservati o elaborati i dati personali dei cittadini UE?
  2. Nella tua azienda si decide quali elementi specifici dei dati personali debbano essere archiviati?
  3. tua azienda si decide come utilizzare i dati personali che vengono archiviati sotto il tuo controllo?

Se la risposta è Sì soltanto alla domanda 1, allora la tua azienda è inquadrata come responsabile del trattamento nel quadro del GDPR. Se la risposta è Sì alle domande 1, 2 e 3, allora la tua azienda è un titolare del trattamento.

In qualità di titolare o di responsabile del trattamento che deve garantire la conformità al GDPR dell’archiviazione e della protezione dei dati personali, dovrai anche tenere conto delle seguenti domande:

  1. Sapresti individuare con precisione, specificare e controllare l’ubicazione fisica dell’archiviazione degli eventuali dati personali sotto il tuo controllo? Ciò è particolarmente importante se si utilizzano o si fornisce protezione dei dati e/o storage basato su cloud, dove i dati personali hanno il potenziale per essere diffusi in più ubicazioni fisiche in data center di tutto il mondo, compreso fuori dalla UE.
  2. I dati personali che vengono archiviati vengono anche strutturati? Le scelte relative al formato dei dati hanno delle implicazioni per la tua capacità di leggere, modificare ed eliminare elementi specifici dei dati personali su richiesta degli utenti. Le strutture dati che supportano ricerche rapide ed efficienti avranno un valore particolare nel supporto di queste richieste dimensionate.

 

Comprensione dei guasti della protezione della privacy

La tua capacità di asserire privacy, integrità, accessibilità e cancellazione dei dati personali si affida in parte alla tua capacità di garantire protezione e recupero dai guasti di archiviazione, backup e ripristino. Questi guasti rientrano nelle tre diverse categorie seguenti:
Errori dei dispositivi: il guasto fisico di qualsiasi componente hardware di storage, tra cui unità disco, storage controller e data center. Alcuni esempi sono l’esposizione accidentale di un’unità disco a un campo magnetico che ne cancella parzialmente il contenuto.
Guasti logici o soft: guasti dovuti a errori umani. Tra gli esempi, la cancellazione o la sovrascrittura accidentale di file nel corso dell’esecuzione di una procedura di backup la corruzione accidentale dei dati dei file a causa di un bug o da un errore in uno script o applicazione aziendale o la cancellazione accidentale del master boot record di un’unità disco.
Violazioni della sicurezza: guasti dovuti ad attacchi violenti e dannosi all’infrastruttura IT, tra cui reti, server, applicazioni ed endpoint, compresi quelli perpetrati da insider malintenzionati, criminali online e attori istituzionali ostili. Gli esempi includono un attacco di ransomware che applica crittografia impenetrabile ai contenuti di un’unità disco e richiede un pagamento online in cambio della chiave di decrittazione.


Supporto dei requisiti dei soggetti interessati per il controllo dei loro dati personali

Oltre alla protezione contro vari tipi di guasti della protezione dei dati, e alla segnalazione alle autorità della UE quando si verificano violazioni della sicurezza, i titolari del trattamento hanno una serie di obblighi nei confronti degli utenti di cui archiviano i dati personali. I titolari del trattamento devono supportare la capacità degli utenti di:

  • accedere, leggere e modificare i propri dati personali;
  • eliminare facilmente i propri dati personali, sia direttamente sia tramite una richiesta a te diretta;
  • esportare i propri dati personali in un formato facilmente leggibile.

La conformità alle richieste dell’utente non è sempre semplice. Ad esempio, è facile rispondere a richieste precise come "Elimina la mia posta in arrivo e tutto il suo contenuto" ma non è altrettanto immediato garantire la conformità a richieste più complesse o ambigue, come "Elimina tutti i miei commenti in questo forum online".


Requisiti GDPR più estesi per protezione dei dati e archiviazione

Le aziende che si inquadrano come responsabili del trattamento devono adempiere anche ad altri obblighi. Tra cui:

  • Offrire sufficienti garanzie che i loro servizi soddisfino i requisiti tecnici e organizzativi del GDPR.
  • Evitare l’uso di fornitori esterni per supportare i contratti di servizio tra il responsabile del trattamento e i relativi clienti (i titolari del trattamento) senza il consenso esplicito del titolare del trattamento.
  • Alla risoluzione di un contratto di servizio, rimuovere tutti i dati dal cloud del cliente e/o dall’infrastruttura del data center e fornire una dimostrazione sufficiente che ciò è stato fatto.
  • Segnalare incidenti di violazioni dei dati all’ente normativo ove previsto dalla normativa.

La UE prende estremamente sul serio il rispetto della conformità, tanto che è pronta ad applicare sanzioni pecuniarie alle aziende che non riescono a dimostrare la propria conformità o che vengono colte in flagrante violazione delle regole del GDPR a tutela della privacy degli utenti. Ad esempio, la mancata conservazione della documentazione scritta, la mancata implementazione di diverse misure tecniche e organizzative e/o la mancata designazione di un responsabile della protezione dei dati, può costare all’azienda in violazione una sanzione di 10 milioni di euro o del 2% del fatturato globale annuo (a seconda di quale dei due è maggiore).

Subire una violazione dei dati o commettere un’infrazione dei diritti del soggetto interessato, ad esempio perdere o eliminare i suoi dati senza autorizzazione, può comportare sanzioni pecuniarie anche più salate pari a 20 milioni di euro o il 4% del fatturato globale annuo (a seconda di quale dei due è maggiore).

In senso lato, per conseguire la conformità GDPR in queste aree di archiviazione e protezione dei dati (backup), responsabili e titolari del trattamento dovrebbero cercare soluzioni infrastrutturali o di servizi che soddisfino i seguenti requisiti tecnici:

  • Controllo da parte del soggetto interessato dell’ubicazione dell’archivio dati personali. Occorre essere in grado di rispettare i desideri delle persone dei cui dati ci si occupa in termini di controllo ed elaborazione rispetto a dove vengono archiviati tali dati: in sede e/o in un data center specifico ubicato nella UE.
  • Crittografia dei dati. Occorre fornire una solida crittografia dei dati personali situati sugli endpoint e a quelli in transito sulle reti LAN e WAN e sul cloud. Il processo di crittografia deve essere interamente automatizzato e il soggetto interessato deve essere l’unico titolare della chiave di decrittografia.
  • Ricerca dati all’interno dei backup. Deve poter essere possibile compiere ricerche all’interno dei backup a livello granulare, facilitando così enormemente l’individuazione delle informazioni necessarie per conto dei soggetti interessati.
  • Capacità di modificare i dati personali. Dovrebbe essere possibile copiare, modificare ed eliminare facilmente i dati personali alla richiesta dei soggetti interessati.
  • Esportazione dati in un formato comune. Dovrebbe essere possibile esportare i dati personali in un formato comune e facilmente utilizzabile (ad es. archivi ZIP).
  • Ripristino dati rapido. Occorre poter ripristinare rapidamente i dati personali dai backup in caso di guasto al dispositivo di archiviazione, di problemi software, di errore dell’operatore o di violazione della sicurezza (ad es. un attacco ransomware).

Analogamente, responsabili e titolari del trattamento devono tenere conto delle seguenti regole GDPR nella scelta dell’infrastruttura e dei servizi di archiviazione e di protezione dei dati:

  • Trasferimenti transfrontalieri di dati. Qualsiasi trasferimento al di fuori dei confini della UE deve avvenire in modo trasparente e sicuro. I fornitori di servizi devono essere in grado di specificare le ubicazioni in cui sono archiviati i dati personali alla richiesta specifica dei soggetti interessati.
  • Notifica delle violazioni. In caso di violazione dei dati, un responsabile del trattamento deve essere in grado di notificare gli eventuali rischi a tutti i titolari del trattamento e ai clienti interessati entro 72 ore.
  • Diritto di accesso. Backup e archiviazione devono supportare i diritti dei soggetti interessati di ottenere informazioni dai titolari del trattamento sul fatto che i loro dati personali vengano elaborati o meno. Il titolare del trattamento deve essere in grado di fornire una copia dei dati a titolo gratuito. I file di backup devono essere continuamente disponibili per i soggetti interessati. I dati personali in un account di backup o di archiviazione devono poter essere eliminati al momento della richiesta del soggetto interessato.
  • Diritto alla cancellazione. Quando i dati personali non rivestono più la funzione originaria, i soggetti interessati devono poter richiederne la cancellazione da parte di un titolare del trattamento.
  • Portabilità dei dati. I soggetti interessati devono essere in grado di ottenere e riutilizzare i propri dati personali per le proprie finalità trasferendoli in ambienti IT diversi. Per questo occorre essere in grado di scaricare i dati personali in un formato di facile portabilità.
  • Responsabili della protezione dei dati. In ogni ente di pubblica amministrazione o grande azienda (almeno 250 dipendenti) deve essere designato un dipendente a cui viene assegnata la responsabilità definitiva della conformità GDPR, noto come responsabile della protezione dei dati.
  • Privacy by design. Titolari e responsabili del trattamento devono adottare adeguati provvedimenti tecnici e organizzativi, tra cui la pseudonimizzazione, progettati per implementare i principi di protezione dei dati.


principi della privacy “by design” e “by default”, ovvero in forza dei quali il trattamento deve sin dall’inizio essere configurato nel rispetto dei requisiti del nuovo Regolamento e improntato alla tutela dei diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Riferimenti:

Daniele Mazzucchi

Daniele nasce a Roma il 4 maggio 1970, è il Direttore di Produzione; inizia giovanissimo a occuparsi di sistemi di rete e di telematica in generale; fonda Nexus nel 1992, uno dei primi provider internet italiani, e successivamente IstriaOnLine, il primo provider internet in Croazia. Attraverso la sua società, la Nexus, partecipa attivamente alla fondazione della naming authority italiana, che diverrà successivamente il registro italiano internet (ccTLD.it). Nel 1999 lascia le sue attività per dedicarsi come professionista indipendente alla web application, collaborando con molte grandi aziende come BPM, IMI San Paolo, Mercedes-Benz Finanziaria; diventa successivamente, nel 2000, Direttore di Produzione di EFM Engineering, dove progetta in particolare una delle prime piattaforme FAD italiane AICC based. Nel 2003 avvia un nuovo progetto imprenditoriale entrando in ICOA, dove sviluppa il settore internet seguendo in prima persona la web application e il marketing online. Guarda il profilo di Daniele su Linkedin.