Tavola Rotonda

GDPR: proteggere i dati rispettando la normativa e creando valore per il business

L’applicazione del regolamento europeo per la protezione dei dati personali bussa alle porte di un’ampia platea di imprese private e di amministrazioni pubbliche, non sempre preparate a raccogliere la sfida. Per aiutarle nella comprensione e nell’attuazione, ZeroUno, in collaborazione con Oracle e altri partner, ha organizzato nei mesi scorsi un roadshow in alcune città italiane per condividere le principali novità rispetto all’attuale normativa, punti di attenzione, impatti sull’organizzazione e sui sistemi informativi, con il suggerimento di cogliere l’occasione della necessità di compliance per fare crescere la cultura della sicurezza nelle proprie organizzazioni.

Pubblicato il 11 Gen 2018

La tappa di Ancona

Ormai sono stretti i tempi per aziende e organizzazioni pubbliche per adeguarsi alla normativa GDPR che regola a livello europeo la protezione dei dati personali. Approvata il 14 aprile 2016 dal Parlamento e dal Consiglio Europeo, prevede due anni (fino al 25 maggio 2018) per implementare i cambiamenti necessari a garantire la conformità. Gli obiettivi principali che hanno ispirato il provvedimento sono stati, da un lato, il superamento della frammentazione normativa sui temi della privacy, che ha caratterizzato il panorama europeo, dall’altro l’adeguamento all’evoluzione tecnologica (figura 1); la riforma riguarda tutti i soggetti che operano in Stati UE o che offrono beni o servizi a soggetti ivi localizzati.

Il GDPR e i suoi impatti sulle imprese è stato l’oggetto di una serie di incontri organizzati da ZeroUno in collaborazione con Oracle, con la partnership di  Aused, Clusit ed Europrivacy, che ha toccato nei mesi scorsi diverse città italiane nelle quali gli eventi sono stati supportati da partner locali: PwC TLS a Trento (dove l’evento è stato ospitato da Gruppo Seac); Area Etica a Brescia; Vantea Smart ad Ancona (dove l’evento è stato supportato anche dal Club TI Centro) e a Firenze.

Figura 1 – Il GDPR in pillole – Fonte: PwC

Obiettivo degli incontri è stato quello di confrontarsi con le aziende su un tema sul quale, nonostante l’imminenza della scadenza, la consapevolezza della sua importanza non è così diffusa come ci si dovrebbe aspettare: “Come dovreste sapere – dice infatti Patrizia Fabbri, caporedattore di ZeroUno e chairman delle tappe di Trento, Brescia e Firenze – dei 99 articoli di cui si compone il GDPR, almeno una quindicina hanno un impatto diretto sull’IT Security. Uso il condizionale non a caso perché, nonostante la vicinanza della scadenza, da più punti di osservazione rileviamo ancora una conoscenza limitata di quello che ciò realmente significa questa normativa”.

Patrizia Fabbri, caporedattore di ZeroUno e chairman delle tappe di Trento, Brescia e Firenze

Da un sondaggio realizzato da PwC a inizio 2017 presso 200 aziende americane, il 92% identifica la GDPR compliance come la priorità assoluta dell’anno corrente per quanto concerne le proprie politiche di privacy e sicurezza dei dati: un dato eclatante, considerato che stiamo parlando di quella che per queste realtà è una normativa estera. Quasi contemporaneamente i dati dell’Osservatorio Security & Privacy del Politecnico di Milano rilevavano una grave mancanza di attenzione delle aziende italiane: solo il 9% aveva già un progetto strutturato per adeguarsi e solo il 46% aveva in corso un’analisi dei requisiti richiesti.

“Una situazione pericolosa perché se, come vedremo dalle presentazioni dei nostri relatori, la normativa è molto precisa nel definire ‘cosa’ bisogna garantire ma non indica alcuna procedura sul ‘come’ farlo, una cosa è certa: la responsabilità è totalmente in capo ai dipartimenti IT”, ha ricordato Fabbri.

Stefano Uberti Foppa, direttore di ZeroUno e chairman della tappa di Ancona

Nel corso del tour non ci si è però focalizzati solo su quello che la normativa richiede, ma si è anche affrontato il tema della protezione del dato da una prospettiva più ampia, come sottolinea Stefano Uberti Foppa, direttore di ZeroUno e chairman della tappa di Ancona: “Se diamo per acquisito che oggi il dato ha un valore enorme per le aziende per le quali la conoscenza rappresenta una leva irrinunciabile per fare innovazione, viene di conseguenza che la messa in sicurezza dei dati stessi rappresenta un elemento centrale per le imprese”. Bisogna avere un nuovo approccio alla security, prosegue Uberti Foppa: “E questo significa far entrare la security fin dalle prime fasi del trattamento di un dato, ma non solo. Significa rendere sicuri gli elementi che connotano i sistemi informativi: le architetture (pur nella loro crescente complessità), le reti, le infrastrutture, le applicazioni (rendendo la sicurezza nativa fin dalle prime fasi di sviluppo). La sicurezza deve essere centrale in un’azienda sempre più permeata dal digitale”. Perché, conclude il direttore prima di lasciare la parola ai relatori: “Oggi l’elemento competitivo differenziante è la definizione di una strategia user centric. Lo è sempre stata, direte voi – rivolgendosi alla platea – ma oggi c’è un elemento in più: il cliente, nella sua vita digitale, lascia una scia di informazioni che ci consente di clusterizzare meglio il mercato fino ad arrivare a poter conoscere i desideri del singolo; è allora evidente che se mettiamo il cliente al centro della nostra strategia, i dati che lo riguardano e che sono molto più puntuali e personali di una volta, devono essere adeguatamente protetti”.

Insomma, la normativa interviene là dove dovrebbe già essere puntata l’attenzione delle imprese.

Figura 2 – Il concetto di accountability – Fonte: P4I

I principali punti di attenzione del Regolamento GDPR

“La principale novità del Regolamento GDPR rispetto alla normativa attuale in materia di dati personali è il concetto di accountability (figura 2) – sottolinea Andrea Reghelin, Associate partner P4I – Vengono infatti forniti i risultati da raggiungere, lasciando al titolare del trattamento dei dati l’obbligo di specificare come raggiungerli”.

Andrea Reghelin, Associate Partner P4I

L’articolo 5, che disciplina i principi generali per il trattamento dei dati personali, fornisce la chiave di interpretazione di tutti gli adempimenti previsti: correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza (figura 3).

Figura 3 – I principi generali per il trattamento dei dati personali – Fonte: P4I

La novità dell’approccio in termini di responsabilizzazione è sancita nel 2° comma dello stesso articolo 5 dove si afferma che “il titolare del trattamento è competente per il rispetto dei suddetti principi e in grado di comprovarlo”. “Di fatto l’onere della prova incombe sul titolare del trattamento; questo dovrebbe spingerlo a non applicare pedissequamente gli adempimenti ma a strutturarsi con regole e procedure tali da evidenziare il percorso seguito per essere compliant”, commenta Marco Pozzoni, Associate Partner di P4I, (la cui presentazione può essere scaricata qui) facendo intravvedere la necessità di interpretare il GDPR come un’opportunità per le imprese di fare ordine in casa propria, non limitandosi agli adempimenti minimi.

Marco Pozzoni, Associate Partner P4I

L’Art. 24 prevede invece che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento, misure che vanno riesaminate e aggiornate qualora necessario, ad esempio in caso di evoluzione tecnologica.

Francesca Lonardo, P4I, avvocato specializzato in privacy e diritto delle nuove tecnologie

E cosa accade con l’attuale legislazione nazionale, ossia il Codice Privacy? “Pochi giorni prima dell’ultima tappa del tour, il legislatore, con una tecnica legislativa discutibile – spiega Francesca Lonardo, avvocato specializzato in privacy e diritto delle nuove tecnologie, P4I , la cui presentazione può essere scaricata qui) – è intervenuto con due provvedimenti: da un lato, ha delegato il Governo a riorganizzare complessivamente il Codice Privacy per adeguarlo al GDPR (ed attuarne le disposizioni non direttamente applicabili), dall’altro è intervenuto direttamente, fin da ora, su due articoli del Codice, riguardanti l’uno il responsabile del trattamento (art. 29), l’altro il riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici (l’art. 110), modificandoli. Il Codice Privacy quindi sopravvivrà, ma sarà modificato per renderlo (auspicabilmente…) conforme al GDPR. A maggio 2018, quindi, la materia dovrebbe essere regolata sia dalla normativa sovranazionale sia dal Codice Privacy modificato. In ogni caso, finché quest’ultimo non verrà completamente adeguato alle disposizioni del GDPR, le aziende saranno obbligate a tenere conto di entrambe le normative”, spiega Lonardo.

Gli impatti sui sistemi informativi dell’adeguamento a GDPR

L’applicazione del Regolamento GDPR ha impatti diretti sui sistemi informativi anche se, come vedremo anche negli articoli GDPR: come garantire la compliance e aumentare il livello complessivo di sicurezza dei dati e GDPR: prodotti e servizi Oracle per la compliance, è necessario che tutta l’organizzazione venga coinvolta.
C’è infatti un problema di governance dei dati personali per i quali si devono prevedere la conservazione, la cancellazione, l’oblio, la portabilità. Si devono ottemperare i criteri di sicurezza realizzando l’analisi dei rischi, mettendo in atto misure di sicurezza, il controllo e la comunicazione in caso di violazione dei dati personali (figura 4).

Figura 4 – Gli impatti del GDPR sui sistemi informativi – Fonte: P4I

In caso di accertamento di data breach, va data comunicazione al Garante; vanno dunque predisposte procedure dedicate a gestire la notifica all’autorità di controllo di eventuali violazioni degli standard di sicurezza adottati. Se la violazione comporta rischi gravi in relazione ai diritti e alle libertà, la notifica deve avvenire entro 72 ore e deve essere comunicata anche agli interessati.
Si devono inoltre assicurare canali di comunicazione sicuri verso clienti, dipendenti, fornitori per gestire l’esercizio dei nuovi diritti non attraverso procedimenti manuali, ma con modalità automatizzate. In caso di esternalizzazione del trattamento vanno qualificati i fornitori di servizi e, se il caso, rivisti i contratti, alla luce del Regolamento. “Va dunque messo in campo un vero e proprio sistema di gestione di data protection, che consideri la privacy già in fase di progettazione, che vada ad attribuire ruoli e responsabilità all’interno dell’azienda con regolamenti e procedure per gestire i singoli aspetti – sottolinea Lonardo – Si deve anche documentare quanto fatto: se ad esempio si è fatta l’analisi rischi, va conservata la documentazione, come va tenuta traccia della modifica trattamenti”.
Il sistema implementato non è però statico: si deve controllare con audit e monitoraggi e intervenire se si verifica che le singole norme non sono attuate correttamente.
Entra in gioco a questo punto anche il Responsabile della Protezione dei Dati (DPO), figura di garanzia e di controllo, la cui nomina è obbligatoria:

  • se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccetto autorità giurisdizionali nell’esercizio delle loro funzioni;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in: trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; e/o trattamento, su larga scala, di categorie particolari di dati personali (dati «sensibili») o i relativi a condanne penali e a reati.

Il DPO, che deve essere assegnato esclusivamente a una persona fisica, supportata se necessario da un team, può essere nominato anche quando non sia esplicitamente richiesto.

Registro dei trattamenti: come realizzarlo?

Un altro importante tassello del GDPR è il registro dei trattamenti: “Il registro dei trattamenti è la fotografia dello stato dell’arte in termini di flussi dei dati personali, se manca il quale viene meno il progetto stesso”, sostiene Stefano Cancarini, Legal Director di PwC TLS , (la cui presentazione può essere scaricata qui), che suggerisce alle organizzazioni di realizzarlo anche se non sono obbligate: “Sarà la prima cosa che il Garante chiederà effettuando le verifiche”, precisa.

Stefano Cancarini, Legal Director di PwC TLS

Il Registro dei Trattamenti non è richiesto alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento:

  • possa presentare un rischio per i diritti e le libertà dell’interessato,
  • non sia occasionale o includa il trattamento di categorie particolari di dati (dati sensibili di cui all’art.9) o relativi a condanne penali e a reati (art.10).

Il Registro va pensato caso per caso, ma servono come minimo quattro tipologie di informazioni:

  • descrizione del trattamento
  • soggetti coinvolti nel trattamento
  • localizzazione dei dati e misure di sicurezza adottate
  • condizioni di liceità del trattamento, come si evidenzia nell’esempio in figura 5.
Figura 5 – Esempio di Registro dei trattamenti – Fonte: P4I

Chi sbaglia paga

Fino ad oggi le sanzioni per le inadempienze comminate complessivamente dal Garante italiano per la privacy sono state contenute fra i 3 e 4 milioni di euro l’anno in totale nel periodo 2013-2015. La nuova normativa prevede invece sanzioni elevate fino a 20 milioni di euro per la singola azienda o il 4% del fatturato globale annuo (a seconda del valore più elevato). Sanzioni amministrative pecuniarie (articolo 83 GDPR) molto più alte di quelle dell’ordinamento attuale rappresentano uno dei driver per l’applicazione del Regolamento.
Le sanzioni più alte riguardano la violazione dei principi generali e aspetti come le condizioni di liceità del trattamento, il trattamento di categorie particolari di dati, la violazione dei diritti dell’interessato… Tengono conto anche della natura, della gravità e durata della violazione prendendo in considerazione la natura, l’oggetto o la finalità del trattamento, il numero di interessati lesi dal danno e il livello del danno subito.
“Per come sono scritte, le norme relative alle sanzioni sono interpretabili come effettive, proporzionali, dissuasive – sottolinea Cancarini – È dunque importante dimostrare di essere accountable, usando lo scudo di carta, ossia la documentazione di quanto fatto: procedure messe in atto, analisi dei rischi, attività di formazione, registro dei trattamenti” (figura 6).

Figura 6 – Le condizioni per infliggere sanzioni ai sensi del GDPR – Fonte PwC

Per approfondire ulteriormente la tematica del GDPR attraverso documenti e articoli vai all’area “GDPR Countdown”

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4