GDPR

Blog Archives

Obbligo di compliance e sanzioni applicabili

In evidenza0 comments

La data prevista per la piena applicazione del General Data Protection Regulation è stata fissata al 25 maggio 2018.

Entro tale data, ogni azienda dovrà essere in grado di dimostrare all’Autorità di Controllo, in particolare mediante l’adozione di standard di certificazione fondati su codici di condotta (allo stato ancora in fase di definizione), di aver adottato tutte le procedure tecnico organizzative imposte dalla normativa.

Il Regolamento non definisce in maniera specifica le misure tecniche minime da adottare, lasciando ai titolari del trattamento la facoltà di organizzare le proprie privacy policies secondo le specifiche esigenze aziendali ed in relazione alle finalità perseguite.

Ciò consente anche alle aziende di dimensioni più ridotte di adottare soluzioni tecniche organizzative personalizzate idonee a dimostrare la conformità al Regolamento senza dover necessariamente incorrere in costi elevati, i quali saranno parametrati in base alle effettive necessità d’impresa.

La violazione delle disposizioni inerenti i principi di base del trattamento, comprese le condizioni relative al consenso, ovvero i diritti degli interessati, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Privacy Accountability: tra responsabilizzazione e dimostrabilità

In evidenza0 comments

Il testo del GDPR, ribadendo in prima battuta i principi generali in materia di raccolta, conservazione e trattamento dei dati (art. 5), pone infatti la sua maggiore attenzione sull’individuazione dei processi, attività, misure tecniche e organizzative, sanzioni e obblighi del titolare e responsabile del trattamento – accordandogli la facoltà di autodeterminarsi nella scelta – prevedendo che gli stessi “dovrebbero” tenere degli appositi e distinti registri, da mettere a disposizione dell’Autorità di controllo (cfr. considerando n.82), diretti a dimostrare, la conformità al regolamento delle attività di trattamento effettuate sotto la propria responsabilità.

Il registro delle attività di trattamento del titolare e del responsabile – che devono essere rispettivamente redatti, monitorati ed aggiornati secondo criteri unitari tali da garantirne la coerenza strutturale e funzionale, anche in ottica ispettiva – costituiscono quindi la misura organizzativa diretta a garantire un corretto ciclo di gestione degli adempimenti previsti, nonché lo strumento chiave su cui si fonda il principio di dimostrabilità imposto dal regolamento.

Si badi bene che l’obbligo normativo di tenuta dei registri, nonostante sia riservato solo a determinate realtà aziendali (art. 30 comma 5), in concreto si estende a tutti coloro che effettuano attività di trattamento, avendo il principio di dimostrabilità, su cui si fonda l’intera normativa, una portata ampia e generale.

La disciplina specifica dei registri delle attività di trattamento, la cui struttura e modalità di attuazione viene lasciata alla discrezionalità dei soggetti interessati – salvo l’onere di dimostrare l’iter logico che ha portato ad assumere una determinata impostazione e le ragioni per cui la stessa venga ritenuta idonea a soddisfare la normativa – è contenuta nell’art. 30 del GDPR, recante le prescrizioni applicative e l’elenco degli elementi tassativi e delle informazioni relative alle attività di trattamento.

Al fine di adempiere alle prescrizioni regolamentari, la documentazione attestante la compliance con la normativa europea dovrà essere estremamente intellegibile ed improntata su una roadmap strutturata mediante:

  • Un’analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • L’individuazione dei ruoli e delle responsabilità in capo ai soggetti coinvolti nel trattamento, informazioni sulla base giuridica del trattamento (seppur non obbligatoria, estremamente utile per predisporre una corretta documentazione informativa ex art. 13), le procedure per l’esercizio dei diritti dell’interessato;
  • La definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention), modalità e tempi di conservazione e cancellazione dei dati;

L’adozione di misure tecniche per garantire un livello di sicurezza adeguata al rischio ex art. 32.

Standard tecnici ai fini della compliance

In evidenza0 comments

Ai fini di una completa e corretta gestione degli adempimenti imposti dal regolamento, si rende necessaria la stretta collaborazione di due figure professionali – l’esperto legale con imprinting tecnico ed il “puro” consulente tecnico specializzato in sicurezza informatica – che interagiscano sinergicamente nella messa in atto delle misure tecniche ed organizzative dirette a garantire – e soprattutto a dimostrare – la conformità del trattamento dei dati al Regolamento. Tenendo conto delle finalità del trattamento, si ravvisa quindi la necessità di organizzare la struttura dei dati aziendali secondo elevati standard di sicurezza – tenuto conto delle dimensioni dell’attività – idonei a tutelare sia la struttura aziendale che i diritti degli interessati, tra cui:

  • Analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • Definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention, modalità e tempi di ripristino, conservazione e cancellazione dei dati;
  • Ridefinizione della struttura degli accessi ai server aziendali in base ai ruoli ed i livelli di autorizzazione di ciascun incaricato;
  • Attività di monitoraggio e predisposizione di misure tecniche per la prevenzione e gestione dei fenomeni di data breach.

Attività di Testing per verificare la solidità degli strumenti di protezione da vulnerabilità sistemiche e fenomeni di attacco informatico, sia esterni che interni, mediante simulazioni di accesso a rete informatica, verifica dei LOG e delle modalità di conservazione dei dati, test antivirus/sicurezza rete (detenzione di codice maligno).

I punti salienti del regolamento CEE 679/16
in materia di protezione dei dati personali

In evidenza0 comments

Mediante l’adozione del Regolamento Generale sulla Protezione dei dati introdotto con Regolamento CEE 679/2016, il legislatore Europeo, mutando completamente impostazione rispetto al passato, propone un articolato scenario normativo in materia di privacy imponendo alle aziende – quali soggetti titolari del trattamento dei dati – di farsi parte diligente nella gestione complessiva del trattamento mediante la predisposizione di misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati adeguata al rischio insito nell’attività esercitata.

In particolare, è necessario che il titolare implementi la protezione dei dati “by design”, ovvero intrinsecamente in ogni fase del trattamento in modo da garantire che vengano soddisfatti i requisiti del regolamento e in funzione della tutela dei diritti degli interessati, e che l’attività di trattamento venga effettuata sin dal principio, ovvero “by default”, unicamente con riferimento soli dati necessari in relazione alle finalità per cui vengono trattati, mediante l’adozione di misure tecniche e organizzative che offrano garanzie adeguate.

Altro elemento chiave è la valutazione del rischio d’impatti negativi sulle libertà e i diritti degli interessati derivante dal trattamento informatico e tenuto conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

Si rileva quindi lo spostamento del controllo in un momento successivo, riducendo se non eliminando il potere “autorizzativo” del Garante che dovrà limitarsi a indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58 come ammonimento del titolare o limitazione/divieto a procedere per il trattamento.

ARE YOU READY FOR THE GDPR?

Approfondimenti, Focus on, In evidenza, Newsletter0 comments

C’è una novità alle porte che cambierà molto nell’organizzazione di aziende, professionisti, enti economici o anche senza scopo di lucro. Stiamo parlando del nuovo regolamento europeo in materia di protezione dei dati personali (Reg. CEE 679/2016), la cui piena applicazione decorrerà dal 25.05.2018 ed a cui il nostro Studio sta dedicando molta attenzione, per la rilevanza che la normativa avrà in ogni aspetto della vita sociale e delle attività professionale e di impresa.

L’interrogativo che sorge spontaneo è il seguente: quante delle tante realtà che sono forzatamente interessate dalla normativa europea e dagli importanti mutamenti strutturali ed organizzativi che la stessa comporta, sono effettivamente pronte ad affrontare gli adempimenti imposti dal GDPR? La risposta è quantomeno allarmante.

Da alcuni recenti report (aprile 2017, come la ricerca targata ESET e IDC), emerge come le aziende private, ed in particolare le PMI, siano in forte ritardo sulle procedure di adeguamento al GDPR. La ricerca rileva come quasi il 78% dei responsabili IT delle aziende coinvolte non abbia ancora compreso chiaramente l’impatto della nuova normativa, oppure non ne è a conoscenza, mentre tra quelle conoscono il GDPR, solo il 20% afferma di essere già conforme, il 59% si sta adeguando – ma non si sa con quale capacità tecnica – ed il 21% dichiara candidamente di non essere a norma. Pochi hanno presente che la violazione delle disposizioni inerenti i principi di base del trattamento, comprese le condizioni relative al consenso, ovvero i diritti degli interessati, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Il rischio è che gli operatori interessati vedano la nuova norma come l’ennesimo costo da affrontare, senza cogliere che invece si tratta di un investimento perché se è vero che gli adempimenti tecnico organizzativi imposti dal GDPR obbligano i soggetti coinvolti a riconsiderare le proprie politiche di sicurezza informatica, prescrivendo l’adozione di elevati standard di efficienza, gli effetti sono a beneficio dell’intero patrimonio aziendale.

L’esigenza di adottare specifiche policies per la sicurezza dei dati – sia in termini di privacy che di know how aziendale – è stato infatti finora un tema gravemente sottovalutato dallo scenario imprenditoriale italiano ed anzi visto solo come un “problema inutile”: ebbene, il 2016 come risulta dal Rapporto Clusit 2017 è stato complessivamente l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, non solo dal punto di vista quantitativo, ma anche e soprattutto da quello qualitativo (evoluzione degli attacchi DOS (denial of service), Man in the mail, Ransomware). La permeabilità di un sistema di dati mette quindi a rischio l’impresa ed i professionisti, sia per l’appropriazione e la diffusione dei dati, anche “sensibili”, con conseguente esposizione ad azioni risarcitorie da parte di chi quei dati aveva affidato all’operatore, sia per mancata tutela del proprio know-how che spesso rappresenta l’asset più rilevante per un’attività.

Ambrosio & Commodo ha da tempo organizzato un Dipartimento IT, coordinato dall’avv. Stefano Maria Commodo, dedicato alle nuove tecnologie ed agli aspetti legali che le stesse mettono in evidenza, che è ora in grado di assistere gli operatori nell’esigenza di conformarsi al nuovo GDPR offrendo un servizio che unisce l’esigenza tecnico strutturale con i più elevati standard di sicurezza informatica.

Il Dipartimento IT – affidato al partner Avv. Jacopo Giunta, Perfezionato in Computer e Mobile Forensics, certificato CIFI, Perfezionato in Computer Forensics & Data Protection, socio IISFA, CLUSIT, DFA, Tech & Law e Federprivacy – opera ponendo particolare attenzione ai costi di attuazione del GDPR, in funzione delle effettive esigenze aziendali e considerando le diverse finalità di trattamento ed alle dimensioni delle realtà aziendali, mediante attività di testing appositamente predisposte per verificare la solidità degli strumenti di protezione da vulnerabilità sistemiche e fenomeni di attacco informatico.

Ambrosio & Commodo può fare affidamento della partnership con il Prof. A.C. Dott. Paolo Dal Checco – Consulente Tecnico in ambito forense specializzato in computer, mobile e network forensics, Professore a Contratto del corso di Sicurezza Informatica per l’Università degli Studi di Torino, socio IISFA, CLUSIT, AIP e Tech & Law e tra i fondatori dell’Osservatorio Nazionale per l’Informatica Forense e dell’Associazione DEFT.

Ora, di seguito, alcuni approfondimenti utili ad orientarvi……nel nuovo “pianeta GDPR”!

GDPR SHORT REMINDER