GDPR – General Data Protection Regulation -
“Regolamento generale sulla protezione dei dati” UE 2016/679
Il 24 maggio 2016 è entrato in vigore a livello di Comunità Europea il nuovo Regolamento Europeo sulla Privacy le cui norme saranno applicate dal 25 maggio 2018.
Il regolamento porterà una serie di innovazioni, non solo per il singolo cittadino, ma anche per aziende, enti pubblici, liberi professioni ed associazioni.
In primis il legislatore ha voluto introdurre regole più chiare in merito all’informativa ed al consenso stabilendo precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.
Si è voluto rendere la norma più trasparente, con un’unica visione in tutta l’Unione Europea, rendendo molto chiara e semplice la gestione del proprio dato per ogni cittadino mediante consensi e revoche evidenti.
La violazione dei dati personali (Data breach) non potrà essere una problematica solamente aziendale ma richiederà maggiore informazione verso l’interessato e una comunicazione tempestiva ed obbligatoria verso l’autorità nazionale per la protezione dati (Garante Privacy).
Per le aziende, cambia radicalmente la visione generale che passa da un censimento dei trattamenti effettuati relativi alla privacy ad una vera e propria Gestione del Sistema Rischi.
I legislatori europei hanno voluto dichiarare in modo evidente l’importanza del provvedimento stabilendo sanzioni amministrative pecuniarie che possono arrivare fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato annuo mondiale precedente.
ASPETTI CHIAVE DEL GDPR
Principi e diritti per gli interessati
Consenso: il consenso degli interessati dovrà procedere il trattamento deve essere informato prestato cioè dopo aver ricevuto una chiara informativa sul trattamento dati; dovrà essere libero svincolato da qualsiasi obbligo e forma di coercizione che ne renda inefficacie il rilascio; dovrà essere limitato sia per quanto riguarda la durata che per la tipologia di trattamento; dovrà essere esplicito per trattare dati sensibili. Sarà vietata ogni forma di consenso tacito o implicito. Dovrà essere verificabile, vi è l’esplicito onore di dimostrare l’avvenuta acquisizione del consenso.
- Informativa: Incremento della trasparenza delle informative in caso di raccolta dati (i titolari potranno utilizzare icone che sintetizzano i contenuti della informativa che saranno identiche in tutta la UE) e maggiori informazioni sulla modalità di trattamento dei dati ad esempio se i dati sono trasmessi all’estero e quali garanzie per l’esercizio dei diritti.
- Diritto all’oblio: diritto di cancellazione dei dati personali conservati da un titolare purché non sussistano motivi legittimi per conservarli. Obbligo per il titolare di informare di questo obbligo chiunque abbia avuto da lui quei dati. Il diritto all’oblio può essere limitato in considerazione di esigenze e interessi legittimi: libertà di espressione, un interesse pubblico, ecc.
- Data Portability: Diritto di richiedere e ricevere i propri dati in un formato standard, strutturato, leggibile da dispositivo automatico e di uso comune, possibilità di richiesta del trasferimento dei dati personali tra differenti titolari.
- Limitazione del trattamento: Possibilità di richiesta di limitazione del trattamento, cioè «congelare» un dato, qualora si contesti l’esattezza dei dati nel periodo necessario al titolare per verificare la correttezza, trattamento illecito, qualora i dati non siano più necessari per le finalità di quel trattamento.
- Diritto di Opposizione: Possibilità di opposizione per motivi legittimi rispetto a determinati trattamenti ad esempio la profilazione senza dover motivare la propria opposizione quando il trattamento di profilazione è in qualche modo collegato ad attività di marketing diretto.
- Profilazione: Maggior controllo degli interessati su profilazione trattamenti automatizzati. Diritto di opporsi alla decisione presa sulla base di un trattamento automatizzato.
Obblighi per titolari e responsabili
- Eliminazione obbligo di notifica: Viene eliminata la notificazione cioè la dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo Titolare del trattamento.
- Responsabilità solidale di titolare e responsabile: Il titolare e il responsabile del trattamento sono responsabili in solido nei confronti dell’interessato, per un eventuale danno causato dal trattamento
- Responsabilità dei contitolari: Due o più titolari del trattamento che determinino congiuntamente le finalità e i mezzi del trattamento possono definirsi contitolari del trattamento, determinando mediante accordo interno le rispettive responsabilità.
- Ricorsi verso Titolari e Responsabili: Promossi dagli interessati in caso di trattamenti dati non conformi al Regolamento, presso l’autorità Garante Privacy o organismi giudiziari ordinari
- Aumentati poteri di controllo delle autorità Garanti Privacy: Poteri investigativi, correttivi, autorizzativi e consultivi. Possibilità di imporre sanzioni economiche
- Registro dei trattamenti: Registrazione e mantenimento di adeguata documentazione sui trattamenti effettuati, dati titolare e responsabile, finalità, descrizione delle categorie di interessati e dati personali ed una descrizione generale delle misure di sicurezza. Tali registri devono essere messi a disposizione del Garante.
- Principio di Responsabilizzazione documentata: Il titolare deve adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure tecniche e organizzative finalizzate ad assicurare la compliance normativa.
PRINCIPALI NOVITÀ DEL GDPR
- Accountability (responsabilità):
principio basato sulla valutazione del rischio, da parte del titolare;
- Privacy by default e by design:
La tutela dei dati personali impostata come impostazione predefinita (by default); La tutela pensata fin dalla progettazione di prodotti e servizi (by design);
Il titolare deve tenere un “Registro delle Attività sul Trattamento dei Dati” svolte sotto la propria responsabilità, messo su richiesta a disposizione dell’Autorità di controllo, deve riportare le misure di sicurezza tecniche ed organizzative adottate;
Prima di procedere con il trattamento, il titolare è tenuto ad effettuare una valutazione di impatto, per evidenziare i rischi per gli interessati e le misure di sicurezza adottate per proteggerne i diritti;
- DPO – Data Protection Officer:
Figura indipendente che svolge un’attività di “consulenza” con il compito di sovraintendere e monitorare tutti i processi che riguardano il trattamento dei dati personali;
Il Titolare e responsabile mettono in atto misure tecniche ed organizzative adeguate, per garantire un livello di sicurezza adeguato al rischio che comprendono:
- Pseudonimizzazione e cifratura dei dati;
- Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati;
- Procedura per provare, verificare, valutare efficacia delle misure tecniche ed organizzative;
- Data recovery;
IMPLEMENTAZIONE NELLA INFRASTRUTTURA IT
Il GDPR è la risposta dell’Unione Europea al ruolo enormemente esteso che la tecnologia riveste attualmente nella raccolta e gestione dei nostri dati e per questa motivazione, ci saranno aumenti dei requisiti dei criteri di sicurezza e privacy.
GDPR: STEPS PER ESSERE COMPLIANCE:
- Analisi del traffico di rete;
- Valutazione e correzioni continue delle vulnerabilità;
- Protezione per e-mail e navigazione web;
- Protezione contro virus e malware;
- Blocco del traffico anomalo (Inbound/Outbound);
- Controllo dei software su device mobili, laptop, desktop;
- Controllo del software lato server;
- Protezione e crittografia dei dati;
- Alta affidabilità dei device critici;
- Monitoraggio hardware/traffico e analisi/report dei data breach
SEGMENTAZIONE DELLA RETE E AUTORIZZAZIONE ALL’ACCESSO
- Configurazioni sicure dei dispositivi di rete (router, firewall, switch e ap)
- Differenziazione dei privilegi amministrativi
- Difesa perimetrale e gestione dei segmenti di sicurezza interni di rete
- Limitazione e controllo di porte, protocolli e servizi di rete
- Gestione dei dispositivi autorizzati e non autorizzati (BYOD)
- Controllo wireless degli accessi (uffici (802.1X), ospiti)
- Monitoraggio e controllo degli account utente
E’ quindi fondamentale mantenere tutti i sistemi operativi (client/server) aggiornati e pianificare i backup (su unità esterne/cloud).