Mancano pochi mesi all’entrata in vigore del GDPR (General Data Protection Regulation – Regolamento UE n° 679/2016), il nuovo regolamento generale sulla protezione dei dati che sarà valido a partire dal 25 maggio 2018.
Tra le principali novità introdotte dalla normativa, il rafforzamento delle misure tecniche e organizzative per garantire la massima sicurezza dei dati, riducendo così il rischio di furto o dispersione accidentale.
Cos’è il GDPR
Il GDPR è un regolamento dell’Unione Europea in tema di protezione delle persone fisiche con particolare riferimento al trattamento dei dati personali, soprattutto per quanto concerne la condivisione degli stessi.
In vigore dal 24 maggio 2016, il GDPR avrà però piena applicazione solo a partire dal 25 maggio 2018. L’obiettivo? Garantire un’adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy. Si pensi a trattamenti non autorizzati o illeciti, perdita, distruzione o danno accidentale.
In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali/confidenziali) il titolare del trattamento dei dati personali deve poter dimostrare al giudice di aver preventivamente assunto tutte le precauzioni del caso.
Le misure tecniche e organizzative adeguate al possibile rischio sono diverse. Consideriamo le principali:
– Fare un backup in cloud dei dati sensibili. Perché proprio in cloud? Il motivo è semplice: altri sistemi di backup non sarebbero sicuri al 100%. Ad esempio, se si salvassero i dati su un hard disk esterno, bisognerebbe chiuderlo in una cassaforte sorvegliata 24 ore 24, il che non è obiettivamente fattibile.
Nel caso in cui i dati aziendali vengano immessi sul cloud (servizi di storage online come Dropbox, Google Drive, OneDrive, Salesforce,…), è indispensabile verificare che le stesse informazioni vengano adeguatamente cifrate dal provider.
Il trasferimento di dati personali dai Paesi dell’Unione, Italia compresa, verso altre nazioni è vietata già oggi (a meno che il Paese in questione garantisca un livello di protezione “adeguato”). Gli Stati Uniti sono stati ad esempio ritenuti “adeguati” sulla base di alcune risoluzioni (la più famosa è l’US-EU Safe Harbor).
– Essere in grado di dimostrare che i dati vengono utilizzati solo per scopi precisi. I dati, inoltre, devono essere costantemente aggiornati e, dietro specifica richiesta, cancellati.
– Effettuare periodicamente un’analisi interna dell’infrastruttura, ad esempio attraverso prove di intrusione e QSA (acquisizione di certificazioni).
– Investire sulla formazione del personale, in modo che ogni dipendente sappia garantire la sicurezza dei dati personali.
– Eseguire la crittografia dei dati, anche all’interno dei notebook aziendali, in modo che rimangano al sicuro anche in caso di furto o smarrimento del computer portatile. La cifratura dei dati è essenziale anche nel momento in cui si salvano nelle piattaforme cloud, perché altrimenti anche in questo caso potrebbero verificarsi delle violazioni.
– Crittografare le email che contengono informazioni confidenziali.
– Crittografare i dati contenuti nei diversi supporti di memorizzazione, come ad esempio chiavette USB, CD, DVD,…
Violazione dei dati personali: come può accadere?
La violazione della sicurezza dei dati o data breach può significare tante cose: perdita, modifica, distruzione o accesso e divulgazione non autorizzata. Sono state quindi classificate tre tipologie di data breach:
1) Confidentiality breach (accesso e divulgazione)
2) Integrity breach (alterazione)
3) Availability breach (perdita o distruzione)
In caso di data breach, qualsiasi sia la categoria alla quale può essere ricondotto l’incidente occorso, in base all’articolo 33 del GDPR, il titolare del trattamento è tenuto ad informare della violazione l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo i casi in cui vi sia una scarsa probabilità che la violazione diventi un rischio per i diritti e le libertà delle persone fisiche interessate. Qualora vi fosse un ritardo nella comunicazione, il titolare è tenuto a giustificarlo.
E se invece il rischio c’è? In questo caso è necessario che il titolare comunichi la violazione agli interessati senza alcun ritardo. L’argomento è trattato nell’articolo 34 del GDPR che è chiarissimo su questo aspetto: una mancata comunicazione del data breach è giustificata solo nei casi in cui il titolare del trattamento abbia messo in atto le adeguate misure tecniche e organizzative per proteggere i dati (come ad esempio la cifratura, che li rende illeggibili e inutilizzabili a chi non è autorizzato ad accedervi) oppure ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per la sicurezza dei dati.
Il Registro degli incidenti
Secondo quanto stabilito nel GDPR, il titolare del trattamento dei dati è tenuto ad adottare un Registro degli incidenti, in cui devono essere notificate le eventuali violazioni, i dati compromessi, le cause, gli effetti e i provvedimenti presi. Si tratta di un modulo strutturato in maniera semplice e intuitiva, con campi contrassegnati da riempire, in modo da facilitare al massimo il compito di chi è incaricato a descrivere l’avvenuto “sinistro”. Questo strumento non serve solo a registrare i data breach di un sistema, ma è utile anche per evitare incidenti futuri, perfezionando così l’efficacia delle misure di sicurezza.
Il nuovo regolamento generale sulla protezione dei dati presenta numerose novità, soprattutto in termini di sicurezza. D’altro canto, però, se è semplice interpretare la normativa, applicarla può risultare difficoltoso.
Per questo ci sono aziende, come ad esempio ITS, leader nel settore delle telecomunicazioni, che offrono servizi di assistenza per aiutare i clienti a gestire correttamente l’applicazione del nuovo decreto.
Obblighi per chi gestisce un sito web
L’acquisizione del consenso al trattamento dei dati è un punto nodale del regolamento.
Il GDPR stabilisce infatti che ogni sito web che raccoglie dati personali, per qualsivoglia ragione, è tenuto a ottenere da ciascun utente esplicito consenso per il loro utilizzo.
Ogni visitatore deve comprendere i maniera chiara e inequivocabile per quali finalità vengono utilizzati i dati personali e in quale modo essi vengono trattati.
Se un indirizzo email è stato conferito per gestire l’ordine di un prodotto, bisognerà chiarire ad esempio che esso sarà conservato solo per la gestione del sito di e-commerce e non trasmesso a terzi, per esempio, per finalità pubblicitarie.
Un sito web che raccoglie i curricula dei candidati ai fini di un’opportunità di lavoro può ad esempio sfruttare tali dati solo questa tale finalità e non per altre (a meno che non sia stato raccolto l’esplicito consenso dell’interessato).
È quindi consigliabile procedere con una revisione del testo dell’informativa sulla privacy di ciascun sito web (dal momento che il GDPR in Italia sostituisce il Codice Privacy ovvero il D.Lgs. 196/2003).
L’altro aspetto importante del GDPR riguarda l’accesso ai dati: è indispensabile verificare quali soggetti hanno titolo per accedere alle informazioni contenute nei database e revocare eventuali permessi superflui.
Nel caso in cui ci si appoggiasse a società esterne, è importante avviare una verifica delle procedure usate dall’azienda per verificare che esse siano in linea con quanto disposto dal GDPR.
È quindi importante mantenere un registro delle azioni che si sono poste in essere per verificare che tutti i soggetti autorizzati ad accedere ai dati pongano in essere tutte le misure per preservare la sicurezza e l’integrità delle informazioni.
Infine, qualunque data inviato su un sito web deve essere cifrato per adeguarsi al GDPR: l’utilizzo di un certificato digitale valido e del protocollo HTTPS, sono considerabili come misure sufficienti per adeguarsi alle disposizioni del GDPR.
In che modo le piccole e medie imprese sono toccate dal GDPR
Il nuovo regolamento europeo tocca ovviamente anche le piccole e medie imprese (PMI) italiane.
La riforma elimina definitivamente le notifiche sul trattamento dei dati alle autorità di vigilanza (adempimento che rappresenta un costo pari a 130 milioni di euro l’anno); autorizza le PMI ad applicare una tariffa per le richieste di accesso ai dati eccessive o palesemente infondate; esonera le PMI dall’obbligo di nominare un responsabile del trattamento dei dati personali nella misura in cui il trattamento dati non sia la principale attività dell’impresa e le solleva dall’effettuazione della valutazione d’impatto, a meno che non ci sia un rischio elevato.
Il testo completo delle nuove disposizioni è consultabile a questo indirizzo.
Il Garante per la protezione dei dati personali ha preparato una Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.