GDPR
Regolamento UE 2016/679
La Privacy è un diritto di tutti: è un dovere di tutti saperla gestire Manuale di consapevolezza per Responsabili della Privacy e Titolari dei Trattamenti
Il nuovo Regolamento Europeo non è stato studiato per bloccare l’operatività delle Aziende, ma per fare in modo che queste trattino le informazioni con maggior consapevolezza proteggendole da perdita o sottrazione rispettando i diritti degli interessati informandoli limitando l’uso illegittimo dei dati personali Non deve essere visto come “un nemico”, ma come un’opportunità per aumentare la fiducia dei clienti nei confronti del partner/fornitore di servizi. Essere “adeguati” diventa l’occasione per differenziarsi da coloro che non sono conformi a fondamentali principi di rispetto. COMPLIANCE e ACCOUNTABILITY diventano elementi di responsabilità riconosciuti anche dal cliente, per questo l’adeguamento deve essere vissuto come un vantaggio, non come un “onere”.
Cosa comporta per le aziende? In realtà, anche se lo sforzo sembra una
pesante, serie
comporta
di
benefici
importanti, anche se molte volte poco considerati: - controllo delle autorizzazioni - definizione dei ruoli - sistemi di controllo delle procedure - adeguamento dei processi all’evoluzione tecnologica - flessibilità dell’azienda - sicurezza intrinseca (fisica e logica) - aumento della fiducia della clientela Non ultimo: essendo adempimento di legge è previsto che, in caso di inadeguatezza o di mancanza dell’adozione di misure di sicurezza “idonee”, venga comminata una sanzione “fino a 20 milioni di euro o 4% del fatturato globale” (comunque proporzionata alla gravità del danno) e in ogni caso il risarcimento del danno causato.
La "nuova" privacy... In un mondo costantemente connesso, dove ciascuno ha accesso a migliaia di informazioni ogni giorno e, molte volte senza saperlo, ciascuno è parte di queste informazioni, si sentiva bisogno di uno "svecchiamento"; Dal 2003, anno dell'ultima legge sulla privacy in Italia, ad oggi sono cambiate un'infinità di cose: Social networks, smart-TV, macchine collegate con il cellulare, Internet of Things, Industria 4.0... Tutte novità che sono entrate nella nostra abitudine in punta di piedi e che molte volte nemmeno ci accorgiamo che ci sono accanto durante la normale vita quotidiana. In certi casi, per contorte logiche di business, si è arrivati all'abuso di certe informazioni da parte delle major del web; ne sono prova gli scandali dei "dati venduti" o il trattamento ed il commercio di questi verso realtà "poco virtuose", il fenomeno wikileaks e le sanzioni internazionali verso i nomi più conosciuti del web. Situazioni che hanno portato gli utenti a fidarsi meno di nomi come Google, Facebook, Amazon, proprio perché non si poteva sapere come venivano gestiti i dati relativi al tempo speso sui loro siti/app.
Serviva quindi uno strumento che potesse dare un freno, e contestualmente riportare la fiducia nell'utenza, e che qualificasse i "dati personali" come informazioni che possiedono un "valore"; l'unico sistema era quello di farli diventare un "bene" che poteva essere concesso in uso con la clausola di "tutela della proprietà": un dato è dell'INTERESSATO, ed il TITOLARE ne è custode fino ad avvenuto termine dell'uso concesso, pertanto deve custodirlo e proteggerlo, altrimenti dovrà rifondere i danni cagionati. Il Regolamento UE 2016/679, anche conosciuto come GDPR, o in italiano RGPD (Regolamento Generale per la Protezione dei Dati), abroga le precedenti leggi (95/46/CE) e integra il vecchio D.Lgs 196/03 (ritenuto comunque ancora conforme e compatibile) introducendo un più ampio significato all'operazione di "trattamento dei dati personali". Il nuovo Regolamento si basa su concetti più “generali” di protezione, introducendo nuovi significati e nuovi elementi a dati “personali” e “sensibili”; inoltre preferisce adottare un processo di valutazione del rischio e sistemi di gestione e protezione idonei, anziché determinare, come faceva la legge precedente delle "Misure Minime" universali. Il sistema di protezione deve essere "proporzionale" al valore delle informazioni che si trattano e dei processi a cui sono sottoposte. Viene sviluppato il concetto che se si agisce sulla "responsabilizzazione", e sull'adozione di comportamenti proattivi, efficaci e applicati da parte del Titolare e dei Responsabili, si ottiene una prevenzione del danno e non una sua “riparazione”. Privacy non significa più "non essere disturbati" o "non essere soggetti a trattamento", bensì essere coscienti, informati e consenzienti di quello che viene fatto con i dati che noi, spontaneamente, forniamo; vuol dire avere il diritto di sapere e la certezza che essi siano usati per ciò che ci viene detto; vuol dire averne il controllo e che in qualunque momento, se cambiamo idea, i nostri dati devono essere restituiti, spostati o cancellati su semplice richiesta.
Le persone della Privacy
Le parole della Privacy
A Accountability: “responsabilizzazione” di Titolari e Responsabili che devono adottare proattivamente comportamenti tali da dimostrare l’adozione di misure concrete per assicurare l’applicazione al GDPR. Archivio: raccolta di dati personali organizzati in un insieme ordinato e indicizzato (indipendentemente dal fatto che sia elettronico o manuale). Audit: sistema di controllo basato su verifiche e interviste. Autorità di vigilanza: agenzie governative che supervisionano l’applicazione della legge nel proprio paese (Garante Privacy). C Compliance: conformità a regole e disposizioni del GDPR e normative cogenti. Consenso: manifestazione di volontà libera, specifica e informata dell’interessato, che manifesta il proprio assenso al trattamento, con dichiarazione o azione positiva inequivocabile. CoTitolare: quando due o più Titolari del trattamento determinano congiuntamente finalità e mezzi, sono cotitolari e determinano, mediante un accordo, le responsabilità in merito all’osservanza degli obblighi, in particolare per l’esercizio dei diritti dell’interessato. Cookie: file scritto da un sito sul PC del visitatore per immagazzinare informazioni. Si definiscono "tecnici" quando salvano informazioni anonime, di "profilazione" quando rendono identificabile la persona e le sue abitudini. Criptazione/Crittografia: mediante un algoritmo basato su chiave "segreta" le informazioni vengono rese illeggibili a terzi che non siano in possesso del codice per poter effettuare l'operazione inversa (decrittazione).
D Data Breach: violazione di sicurezza nella quale i dati protetti o riservati vengono consultati, copiati, trasmessi, rubati, persi, distrutti o utilizzati da un soggetto non autorizzato. Solitamente avviene a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, incendi o altre calamità. Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile; è identificabile la persona fisica che può essere riconosciuta, direttamente o indirettamente, facendo riferimento a un identificativo: un nome, un numero di identificazione, dati relativi all’ubicazione, identificativo online o a uno o più elementi caratteristici della sua identità fisica,genetica, psichica, economica, culturale o sociale. Dati Personali Giudiziari: dati personali relativi alle condanne penali e ai reati. Dati Particolari (Sensibili): rivelano l’origine razziale o etnica,
opinioni
politiche, convinzioni religiose o filosofiche, l’appartenenza sindacale; sono inclusi dati genetici, biometrici, dati relativi alla salute, alla vita o all’orientamento sessuale. Dati biometrici: dati personali riguardanti una o più caratteristiche biologiche e/o comportamentali (biometria) quali l’altezza, l’immagine facciale, le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina, la forma dell’orecchio, la vascolarizzazione, l’impronta vocale, la grafia, la firma, i movimenti del corpo. Dati genetici: dati relativi alle caratteristiche genetiche (ereditarie o acquisite) che risultino dall’analisi di un campione biologico della persona fisica. Dati relativi alla videosorveglianza o geolocalizzazione (GPS): tutti i dati che permettono di identificare la presenza o la posizione di un individuo in determinati posti, pubblici o privati, tracciando gli spostamenti e le abitudini. Destinatario: qualsiasi soggetto (pubblico o privato) che riceve dati personali. Vige l’obbligo di comunicare all’interessato l’eventuale comunicazione a Destinatari, a meno che ciò non rappresenti uno sforzo spropositato (Considerando 61 e 62) oppure il destinatario sia un’autorità pubblica.
Diritto alla cancellazione (c.d. all’oblio): l’interessato ha la possibilità di richiedere la totale cancellazione dei propri dati personali presso un determinato Titolare del trattamento. Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento. In virtù dell’articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il Titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione. In ogni caso è il Titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta. Diritto alla portabilità: l’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un Titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti. Il GDPR promuove lo sviluppo di formati interoperabili (ad esempio strumenti per il download dei dati e automatismi di trasferimento online) da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Vieta ai titolari di creare ostacoli alla trasmissione dei dati. DPIA – Data Privacy Impact Assestment: procedura di analisi per la valutazione dei rischi connessi al trattamento di dati, con lo scopo di identificare le misure idonee per affrontarli. Si tratta di un procedimento obbligatorio per tutti quei trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche. E Email Opt-in: con il termine opt-in si intende la sottoscrizione volontaria a una newsletter con lo scopo di ricevere via mail comunicazioni informative e commerciali da una precisa azienda. Email Opt-out: l’utente riceve la newsletter fino alla richiesta di annullamento del servizio. Per non ricevere più messaggi in casella di posta, il destinatario deve dichiarare in modo esplicito l’annullamento della sua sottoscrizione
I Informativa: le informazioni che il Titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto, quando i dati sono raccolti presso l’interessato stesso, o presso terzi. Deve definire in linguaggio comprensibile quali sono gli scopi e le modalità del trattamento; se l’interessato è obbligato a fornire i dati e quali sono le conseguenze se non vengono forniti; a chi possono essere comunicati o diffusi; quali sono i diritti riconosciuti all’interessato; chi sono il Titolare e l’eventuale Responsabile del Trattamento e dove sono raggiungibili. Interessato: è la persona fisica identificata o identificabile a cui si riferiscono i dati personali. L Legittimo interesse: possibilità di utilizzare i dati dell'utente per condividere informazioni di vitale importanza per la continuazione del rapporto o della somministrazione del servizio. M Misure di sicurezza: accorgimenti tecnici ed organizzativi, dispositivi o programmi utilizzati per garantire che i dati non vadano distrutti o persi anche in modo accidentale, che solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti. Fanno parte di questi: Firewall, Antivirus, Backup, UPS, ecc. N Norme vincolanti d’impresa: dette anche BCR (Binding Corporate Rules) sono uno strumento che consente il trasferimento di dati personali verso Paesi extra UE tra società facenti parti dello stesso gruppo. Consistono in un documento contenente clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società del gruppo (corporate).
P Paese "adeguato": paesi tra i quali il trasferimento di dati personali è autorizzato: Andorra, Argentina, Canada, Guernsey, Isole Faroer, Isola di Man, Israele, Jersey, Nuova Zelanda, Stati Uniti (Privacy UE-USA Shield), Uruguay e Svizzera. Al di fuori di questi si devono adottare le Clausole BCR o richiedere esplicita autorizzazione. Privacy by Design e by Default: trattamento dei dati personali che prevede, fin dalle fasi di progettazione, misure idonee per tutelare i diritti degli interessati. Ciò richiede “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili”. Privacy Consultant/Officer (o Consulente Privacy): figura che normalmente, in struttura particolarmente ramificate o distribuite, è ausiliario al DPO per seguire "localmente" l'applicazione delle procedure adottate dall'Azienda. Processore/Incaricato (Data Processor): individuo o azienda/organizzazione che aiuta il Responsabile del Trattamento a trasformare i dati in base alle istruzioni che le vengono date, ma non decide autonomamente come disporre di tali dati. Non controlla come i dati vengono raccolti né, tantomeno, il loro utilizzo; li processa secondo le istruzioni e indicazioni. Profilazione: forma di trattamento automatizzato di dati personali per valutare determinati aspetti personali relativi a una persona, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti. Pseudonimizzazione/Anonimizzazione: registrazione dei dati personali in modo che essi non possano essere attribuiti a uno specifico interessato se non attraverso l'utilizzo di informazioni aggiuntive.
R Rappresentante del Trattamento: le organizzazioni che hanno sede fuori dall’UE devono designare (art.27), una persona fisica o giuridica stabilita nell’UE che li rappresenti per quanto riguarda gli obblighi relativi al regolamento UE 2016/679. Registro dei Trattamenti: documento contenente tutte le informazioni relative
alle
operazioni
di
trattamento
effettuate
all’interno
di
un’organizzazione (azienda, ente o associazione). Vengono indicate le finalità del trattamento, le modalità di conservazione, le categorie degli Interessati e dei dati, eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate, ecc. Responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento. Responsabile per la Protezione dei Dati Personali – DPO (Data Protection Officer): il DPO è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali e la loro protezione all’interno di un’azienda (pubblica o privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. S Scopo: è necessario esplicitare in modo molto chiaro quale sia la finalità e l'ambito di utilizzo dei dati degli utenti. Nel momento in cui si raccolgono dati con scopo specifico e dichiarato, quella sarà l'unica finalità per cui è legittimo utilizzarli.
T Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il Titolare del trattamento, il Responsabile del Trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare o del responsabile. Titolare del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Trattamento: operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali. Sono trattamenti la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. W WP29 o G29: gruppo di lavoro europeo indipendente su dati e tutela della privacy che riunisce i rappresentanti di ciascuna autorità nazionale di protezione dei dati. La sua missione è quella di aiutare a sviluppare standard europei adottando raccomandazioni, pareri, ecc.
Ruoli figure e compiti richiesti dalla normativa
Ruoli I ruoli definiti per la privacy sono standardizzati in una Norma (UNI EN 11697). Come ben si sa, una norma UNI, per definizione del Codice Civile, rappresenta la “regola d’arte”, ma non è una legge. I ruoli si suddividono in “operativi” e “strategici”. Ciascun ruolo può essere ricoperto da una o più persone ed una stessa persona potrebbe ricoprire diversi ruoli (es: il Titolare di una piccola Azienda), purché non vi sia conflitto di interesse e sia dimostrabile l’esperienza nelle problematiche trattate. Sono ruoli “operativi” quelli ricoperti da: •
Incaricati/Autorizzati: possono trattare i dati esclusivamente sotto indicazione del Responsabile del Trattamento, senza autonomia nella gestione delle operazioni;
•
Responsabili del Trattamento (interni o esterni): hanno il ruolo di controllo sull’esecuzione delle operazioni conformemente a quanto previsto dal Trattamento a loro assegnato; il GDPR (art.4 par.1, n.8) definisce il Responsabile come “la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento”; hanno un ruolo di controllo verso i loro incaricati e vengono formalmente incaricati con lettera/contratto. ●
Interni: Caporeparto/Capoufficio, Responsabili o Direttori
●
Esterni: Consulenti, Commercialisti, Avvocati, Studi Paghe, Medici
devono pertanto essere figure in grado di fornire garanzie relativamente al rispetto delle disposizioni imposte dal Titolare, nonché garantirne la corretta conservazione e la tutela dei diritti dell’interessato. Risponde al Titolare dell’eventuale inadempimento anche ai fini del risarcimento del danno, salvo che dimostri che l’evento dannoso non è a lui imputabile.
Ruoli I ruoli strategici sono quelli che oltre a gestire il Trattamento, indicano anche le procedure da attuare per garantire la corretta conservazione, protezione e trattamento lecito. Possono essere ruoli strategici tecnici o funzionali. Tra i ruoli strategici abbiamo: Titolare del Trattamento: il GDPR lo definisce come “la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo che , singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”; è quindi identificabile come colui che ha il potere decisionale sul Trattamento dei dati, normalmente il Titolare dell’Azienda o il Rappresentante Legale. Specialista Privacy: è un soggetto che ha ricevuto specifica formazione professionale, almeno 24 ore, che può supportare un Titolare o un Responsabile del Trattamento per effettuare la valutazione e le verifiche dei Trattamenti nelle varie sedi. Consulente Privacy: in questo caso il corso deve essere di almeno 40 ore, e il Consulente può far parte di un Team specializzato nella gestione della Sicurezza dei dati, a seconda della qualifica professionale o esperienza (es: Informatico, Giuridico, ecc.) Amministratore di Sistema: normalmente è il Responsabile del Sistema Informativo, il cui compito è quello di valutare e prevenire il rischio, adottando le misure di Sicurezza idonee indicate dai Responsabili/Titolari o indicandone limiti e criticità, suggerendo eventuali soluzioni più adeguate, in un’ottica di continuo miglioramento e rinnovamento secondo l’evoluzione tecnologica in atto.
Ruoli Una figura particolarmente importante nel proprio ruolo di “controllore strategico” è quella del Responsabile Protezione Dati (anche chiamato RPD o DPO – Data Protection Officer). La figura in questo caso deve avere conoscenze trasversali: ●
Informatiche (sistemi di protezione e trattamento dati)
●
Legali, normative e conoscenze giuridiche (contratti e normative)
●
Specifiche sul trattamento dati effettuato dall’azienda e del suo mercato
●
Una profonda conoscenza del Reg.UE 2016/679
●
Esperienza pluriennale
●
Essere dotato di un profondo senso morale ed etico in quanto fiduciario
diretto del Titolare dell’Azienda Relativamente a quest’ultimo punto, in quanto Consulente diretto del Titolare risponde direttamente ad esso e non può essere soggiogato alle decisioni dei Responsabili delle varie aree di settore (Indipendenza). Deve poter avere strumenti, locali e personale per poter adempiere ai suoi compiti. Deve avere a disposizione potere di decisione economica ed operativa. Da quanto si evince questa persona ricopre un ruolo di importanza molto alta, di conseguenza le sue Responsabilità sono pari a quelle del Titolare in quanto deve tenere indenne da danni e da richieste di danno cagionate ad altri, l’Azienda, valutando i possibili rischi, dimostrando di aver fatto tutto quanto in suo potere per poter prevenire gli eventi dannosi ed aver attuato le misure di sicurezza ritenute idonee per la prevenzione. Per questo motivo, ne risponde in prima persona. Le parole evidenziate nel paragrafo precedente sono fondamentali per comprendere la differenza di approccio del nuovo Regolamento rispetto alle precedenti leggi.
Ruoli Il DPO è espressamente previsto dall’art.37 del GDPR e adempie anche alle funzioni di formazione e informazione relative ad incaricati e Responsabili. Deve avere la massima reperibilità ed è un punto di contatto con il Garante, a cui va comunicata la sua nomina. Può essere può essere interno o esterno, purché abbia identiche prerogative ed abilità di quelle richieste; può essere persona fisica o giuridica, in tal caso si deve identificare un riferimento per contatto e reperibilità. Non deve avere specifiche attestazioni, o essere iscritto ad albi, ma deve dimostrare di possedere le abilità richieste; un organismo di Certificazione aumenta la credibilità e la professionalità della figura. Nell’ambito della nomina l’obbligo esiste per tutti i soggetti pubblici o a partecipazione pubblica, per l’ambito privato è richiesto alle realtà che •
Trattano dati su larga scala per profilazione o monitoraggio
•
Trattano dati sensibili o particolari (medici)
•
Trattano dati relativi a condanne o reati (c.f.r art.37 par.1 lett b,c)
In tutti gli altri casi non vi è obbligo, con conseguente sollievo per le piccole aziende che non devono subirne i costi. Resta comunque immutato l’obbligo di Accountability a questo punto assolto dal Titolare. Vi è inoltre la possibilità per le piccole aziende che trattano dati particolari, di creare un “gruppo imprenditoriale” (art.4 n.19, Considerando 37 e 48), le quali possono designare un unico DPO per il gruppo, purché questi sia facilmente raggiungibile da ciascuna parte, e rimanga in grado di assolvere il compito senza sovraccarico e di comunicare in modo efficace con gli interessati e di collaborare con le Autorità di Controllo. In tal caso ad esempio potrebbero avere sviluppo, in ambito Territoriale, aggregazioni di piccoli
studi
medici
o
simili
per
sostentamento di un “DPO condiviso”.
agevolare
economicamente
il
Principi liceitĂ dei trattamenti fondamenti per la raccolta dati trasparenza e responsabilizzazione
PRINCIPI Il
nuovo
Regolamento
Privacy,
pur
non
enunciandoli
direttamente, ha come base di riferimento i 7 principi della privacy enunciati da Ann Cavoukian (Commissario Canadese per le informazioni e la privacy) già nel 2011, basati a loro volta sulle 7 leggi per l’identità di Kim Cameron. Nel dettaglio il comportamento di una entità che tratti dati deve essere: 1- Proattivo non Reattivo, Preventivo non Correttivo In pratica viene incentivata l’adozione di misure di prevenzione per “evitare il danno” piuttosto che di recupero dello stesso una volta che si è verificato. Tali misure devono tenere ovviamente conto delle tipologie di dato e del costo per l’adozione, oltre a non essere bloccanti per l’utilizzo del dato stesso (si veda più avanti il punto 4) e devono considerare il rischio residuo come accettabile o assicurabile. 2- Improntato alla Privacy by default Nell’iniziare un trattamento si deve dare la priorità alla privacy, intendendola principalmente come 3 misure: •
Minimizzazione del dato trattato
•
Osservazione della sua legittimità
•
Non eccedere le finalità per cui si esegue il trattamento
3- Improntato alla Privacy by design Su questa voce spenderemo qualche pagina di approfondimento più avanti; per ora cominceremo dicendo che la privacy deve essere considerata per tutte le fasi di realizzazione di un progetto di trattamento (informatico o non), dalla sua progettazione fino alla distruzione del dato al termine del Trattamento. Deve essere quindi documentabile l’analisi dell’impatto che il Trattamento avrà sui dati e sulle libertà degli individui.
PRINCIPI -segue4- Fornire una funzionalità completa Assumendo come metro di misura la somma delle funzionalità e della protezione, la definizione è “somma positiva, non uguale a zero”; vuol dire che l’attuazione di misure di prevenzione/protezione non deve ridurre la fruibilità del sistema o inficiare il trattamento del dato per le finalità espresse. In termini pratici: non possiamo bloccare l’accesso ai dati per proteggerli, se sono necessari a completare un’operazione; questo fattore comporta che, in termini di sforzo ed economia, il raggiungimento è ovviamente più oneroso. 5- Sicurezza End-to-End, protezione per il ciclo di vita I dati devono essere protetti durante l’acquisizione, il trasferimento e l’elaborazione. Diventano indispensabili metodi di comunicazione e protocolli protetti (es: https, ftps) e contenitori di destinazione criptati e anonimizzati. 6- Orientata alla Visibilità e Trasparenza Ogni Trattamento e i metodi per proteggere il dato dell’utente devono essere documentati e certificati, così da aumentare la credibilità del sistema e la sua accessibilità per l’esercizio dei diritti. Devono quindi esistere procedure pubblicizzate e promosse per richiedere le informazioni, ottenere l’accesso o comunicare con i Responsabili, in modalità facile e trasparente. Questo oltre a semplificare le operazioni per l’utente aumenta la reputazione dell’Azienda. 7- Rispettosa dei Diritti degli utenti Ogni azione eseguita con i dati dell’interessato, fin dalla raccolta, deve essere eseguita con il suo consenso; e l’esercizio dei diritti non deve essere oneroso economicamente né difficoltoso, oltre a dover essere possibile in ogni momento.
PRINCIPI L'attività di Trattamento deve quindi essere considerata alla stregua di ogni attività "pericolosa" (art.2050 Cod.Civ.) ed è equivalente alle attività di "custodia di beni di terzi", dove il Titolare è un "mandatario" dell'interessato; questo comprende alcuni obblighi in caso di violazione: •
inversione dell'onere della prova, a carico del Titolare
•
il risarcimento in via equitativa stabilito dal Giudice
•
il ripristino delle condizioni e la manleva da ulteriori danni
Per tutela del Titolare, i dati devono essere - trattati in modo lecito, corretto e trasparente - raccolti per finalità determinate, esplicite e legittime - adeguati e limitati a quanto necessario rispetto alle finalità - esatti e aggiornati, adottando tutte le misure per cancellarli o rettificarli - identificando e limitando le operazioni sui dati inesatti o da non trattare - conservati per il tempo necessario al conseguimento della finalità espressa - adeguatamente protetti da perdita, distruzione, sottrazione, danno
PRINCIPI -operativamenteLe condizioni di Trattamento lecito, sono: - espressione di consenso da parte dell'interessato - trattamento in funzione di un contratto tra le parti - adempimento ad obblighi di legge Vi sono poi casi in cui il Trattamento è lecito anche senza i precedenti requisiti ed in particolare quando viene eseguito: - per la salvaguardia degli interessi vitali dell'interessato o di altra persona - per l'esecuzione di un interesse pubblico o l'esercizio di pubblici poteri - per il perseguimento di un interesse legittimo del Titolare o di terzi Purché questi Trattamenti non siano lesivi delle libertà dell'interessato, in particolare se minore (generalmente viene considerato minore l’individuo sotto i 16 anni, in Italia 14 secondo l’ultima direttiva). Le basi enunciate sopra si chiamano “fondamento di base giuridica” e devono essere riportate nell’informativa fornita all’interessato qualora si verifichino tali condizioni; in tutti i casi in cui il consenso deve essere fornito esplicitamente, esso deve essere libero, specifico, informato e inequivocabile (non presunto o tacito) e manifestato attraverso azione positiva; inoltre deve essere "documentato" ovvero dimostrabile l'azione di accettazione. Il consenso per i minori è valido se espresso dai genitori o da chi ne esercita la tutela. In tutti i casi in cui si utilizzi un “bilanciamento degli interessi” è onere del Titolare dimostrare i criteri di valutazione (concetto di “accountability”); in tal modo il Titolare viene responsabilizzato nell’azione di apprezzamento del rischio e della effettiva “non esagerazione” del Trattamento, focalizzando l'azione correttiva e repressiva di comportamenti eccessivi ed illegittimi e incitando all'effettiva valutazione dei rischi, delle azioni e dei mezzi di tutela e salvaguardia dei dati.
PRINCIPI -operativamente-
Consensi raccolti in passato In linea di massima il Regolamento non nega che i consensi acquisiti precedentemente possano essere utilizzati, purché siano stati concessi con gli stessi criteri dell’attuale normativa.
Siccome però diventa difficoltoso dimostrare o certificare un consenso dato magari a voce o molto tempo indietro, ci sono alcuni accorgimenti da adottare per non incorrere in un trattamento illecito. Tali accorgimenti escludono completamente il fattore di opt-in, ovvero considerare per default un utente consenziente a sua insaputa e lasciandogli la sola libertà di revocare un consenso, pratica considerata completamente fuorilegge; diventano invece più affidabili, sebbene con un certo livello di rischio, adottando alcune tecniche di informazione “preventiva e cautelare”; fino
al
fattore
certezza
assoluta
che
però
completamente i dati personali fino ad ora raccolti.
prevede
di eliminare
PRINCIPI -operativamente-
Grazie a queste condizioni il Titolare, valutando il rischio dei dati trattati, la tipologia di trattamento, il tipo di utente e l’azione su di lui fatta e l’eventuale limitazione delle libertà conseguenza di un trattamento non adeguato, può recuperare parte delle
informazioni senza rischiare eccessivamente.
Riportiamo nel grafico la possibile valutazione:
Tra le strategie di adeguamento possono essere previste: lettere di richiesta di conferma dei dati esplicita, previste con o senza disiscrizione automatica in caso di mancata risposta, inviti a rinnovare la fidelizzazione in cambio di monetizzazione, ecc.
Audit identificazione degli assets analisi della sicurezza valutazione dei rischi
Privacy impact assessment: fase di Audit La prima valutazione da fare all’inizio di un processo di adeguamento è la valutazione dello stato attuale (Audit). Al giorno d’oggi la mole di informazioni trasferite ed elaborate diventa sempre più ingente, e l’approccio alla sicurezza deve considerare il dato come nucleo centrale della propria progettazione (data-centric). Quindi quando parliamo di assets, ovvero “beni di proprietà dell’azienda e monetizzabili”, comprendiamo anche il dato personale, come già visto prima; e come ogni bene (computer, automobili, merci…), anche il dato deve essere difeso sia internamente, durante il trattamento, che durante il trasferimento. Per eseguire un corretto processo di progettazione della sicurezza, si deve passare dalla prima fase di Audit, ovvero l’osservazione dello stato del sistema esistente. Comparandolo con lo stato desiderato si avrà la misura della discrepanza (gap analisys) che definirà il livello di adeguamento necessario per ottenere la sicurezza desiderata, o considerata “adeguata”. La prima fase deve quindi determinare gli assets da esaminare e sottoporre a verifica, identificando gli strumenti e le persone che hanno la gestione degli stessi ed i processi a cui saranno sottoposti. Una volta identificati gli assets si potrà passare all’analisi delle fasi di gestione, che deve contemplare TUTTE le fasi di gestione degli assets, ciascuna con i propri criteri di sicurezza (si veda il cap.7 per le definizioni delle sicurezze): •
Creazione o Acquisizione
•
Comunicazione
•
Trattamento e Rettifica
•
Cancellazione o Limitazione
in cui ciascun operatore/Responsabile avrà il proprio ruolo e dovrà essere intervistato ai fini del risultato dell’Audit.
Strumenti di controllo Passo 2: valutazione delle difese. Il perimetro di difesa diventa quindi una delle parti fondamentali: sapere cosa proteggere e DOVE proteggerlo è indispensabile. Le strutture però non sono più così “stabili”, sia geograficamente (stabilimenti esteri o decentralizzati), che materialmente: i dati non sono merci con una locazione fissa, ed i server possono essere anche al di fuori di un’azienda (es: noleggio o hosting). Si deve quindi adottare un piano di valutazione delle difese che valuti sia quelle fisiche (sistemi antifurto, accesso ai locali) sia quelle logiche (protezione da disastri, danni accidentali o intenzionali, sottrazione di dati); e che le valuti sia in fase di mantenimento (sul disco) sia in fase di trasferimento (ad esempio al tablet di un agente commerciale). Chi fa questa analisi deve avere conoscenze della struttura aziendale e passare tempo a verificare quali sono le metodologie usate nel lavoro di tutti i giorni: mail, siti, accensione e spegnimento, abbandono della postazione, sono tutti criteri che devono essere registrati per poter dare un’idea del “comportamento tipo” dell’azienda. Solo in questo modo si potranno identificare i punti di debolezza e le criticità, confrontandole con le “buone norme” in materia di protezione che sono il principio fondamentale della salvaguardia, ottenendo in tal modo la misura del “gap” che l’azienda ha verso un sistema di gestione delle informazioni efficiente e sicuro. Durante l’Audit si può incorrere in una o più situazioni che possono essere considerate “a rischio elevato” e che quindi devono essere sottoposte ad una più attenta valutazione dell’impatto del Trattamento.
Passo 3: RISK BASED APPROACH - DPIA Come abbiamo visto: il nuovo modello richiede una valutazione di probabilità e gravità del rischio (DPIA), mentre non esiste più la necessità di una notifica preventiva al garante. La notifica è da fare solo qualora gli esiti della DPIA risultino eccessivamente rischiosi. Le valutazioni d’impatto aiutano le organizzazioni a identificare, valutare e mitigare o minimizzare i rischi della privacy sui trattamenti esaminati e sono indispensabili (anche per il Regolamento) quando viene introdotto un nuovo processo, sistema o tecnologia. Questa pratica, prevista dall’art.29 del GDPR,
viene costantemente
monitorata dal WP29 o “Gruppo art.29”, che elenca anche metodologie e pratiche per rispettare la conformità dei trattamenti. La valutazione dei rischi, secondo l’art.29 è obbligatoria in questi casi: •
Quando esiste una valutazione sistematica che, basandosi su un trattamento automatizzato, compresa la profilazione, produce effetti che limitano o influenzano le decisioni riguardanti la persona fisica
•
Quando si trattano su larga scala di categorie speciali di dati giudiziari o relativi a condanne penali e reati
•
Quando si trattano su larga scala dati “particolari” (es: medici)
•
Quando si effettua il monitoraggio (videosorveglianza, droni) di un’area accessibile al pubblico
•
Quando si trattano dati di soggetti vulnerabili (es: minori)
•
Quando si usano soluzioni tecnologiche/organizzative di carattere innovativo
•
Quando si trasferiscono i dati in paesi fuori dall’Unione Europea
Le linee guida del WP29 per la DPIA prevedono 3 comportamenti base Trasparenza: fornire ai soggetti informazioni chiare riguardo i loro diritti
●
Accessibilità: degli interessati ai propri dati ed ai trattamenti
●
Comunicazione: di ogni variazione sui dati, compresa la violazione
●
RISK BASED APPROACH Alla richiesta del WP29 si deve rispondere con ADEGUATE misure di sicurezza, ed è per questo motivo che si effettua la valutazione rischi. Non esiste più quindi un elenco di misure minime come nel DL196/03, ma viene richiesta l’implementazione di misure di sicurezza adeguate, ovvero adatte a limitare i rischi; la grande differenza è che nel caso di valutazione, bisogna portare effettiva dimostrazione di aver valutato correttamente il rischio. Anche se con il decreto di “armonizzazione” (D.Lgs 101 pubblicato il 4 Settembre 2018 in G.U.) il Governo ha deciso di rendere “obbligatorie” alcune misure di adeguamento, ritornando di fatto al concetto di “Misura Minima”, vige sempre l’obbligo di effettuare una valutazione dei rischi e prendere misure anche differenti da quelle obbligatorie, purché ne sia giustificato l’uso. Diventa quindi indispensabile pensare ad un adeguamento più generale dell’Azienda partendo da: •
un modello organizzativo diffuso per garantire la compliance, che comprenda anche un piano per la formazione del personale
•
la valutazione ed organizzazione concreta e non solo formale delle operazioni, tramite la dimostrazione delle operazioni eseguite e delle misure adottate (quindi con la possibilità di certificare l’avvenuta esecuzione)
•
la valutazione dell’opportunità di aderire a codici di condotta o linee guida riconosciute (ISO) per attestare l’adeguatezza delle misure, in particolare facendo capo alla ISO27001 per la Sicurezza dei Sistemi Informativi e alla ISO19011 per la gestione degli Audit
•
l’adozione del Registro dei Trattamenti, anche se facoltativo
•
l’adozione dei concetti di Privacy by Design e Privacy by Default integrati in ogni progetto di Trattamento
Check stato aziendale e misura del gap misura del controllo e certificazione
Importanza dell’adeguamento ISO La Normativa ISO viene spesso identificata con il “certificato”, ma in realtà è molto di più… e più utile. Nell’immaginario collettivo le normative ISO sono guardate con sospetto, pensando che servano solo per ottenere alcune agevolazioni in termini di contratti ed ordini, senza nessun beneficio reale. In realtà una Norma ISO è un insieme di regole e procedure, che l’azienda può stabilire internamente, che però determinano una serie di “buone prassi” per ottenere un risultato certificabile e tangibile. In particolare le norme della famiglia 27 (ISO27000) rispondono alle richieste di “Sicurezza delle informazioni” e sono divise in 5 sottogruppi: 1.Sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione ed audit, governance 2.Crittografia e meccanismi di sicurezza 3.Criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza 4.Servizi di sicurezza collegati all’attuazione dei sistemi di gestione per la sicurezza delle informazioni 5.Aspetti di gestione delle identità, biometria e privacy
Importanza dell’adeguamento ISO
L’adeguamento ad una normativa che nello specifico tratta di “Sicurezza Informatica” definendo delle buone pratiche è sicuramente un punto di riferimento per costruire un Sistema di Protezione ADEGUATO. È sufficiente adottare le pratiche indicate per avere risultati in termini di protezione e la possibilità di creare la documentazione necessaria a certificare che stiamo eseguendo quanto richiesto per adempiere alle richieste. Il criterio è talmente accettato che viene riportato nel GDPR (art.42) “Gli Stati membri, le autorità di controllo […] incoraggiano, [...]l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti […]. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”. Facendo riferimento alle normative e certificazioni esistenti non si può pensare altro che ad una ISO27000. In fondo il concetto delle ISO è efficace perché si basa su due concetti base: ●
ISMS: stabilire la regola, implementarla, mantenerla e migliorarla
●
PDAC: plan-do-act-check (pianifica, attiva, esegui, controlla) ciclico
che determinano che il sistema sia sotto continuo controllo e miglioramento, e adeguato alle evoluzioni esterne (come richiesto dal GDPR); che sia in opera e non solo un “desiderio” che non viene attuato. Inoltre stabilisce l’importanza delle leadership, ovvero l’intervento delle Direzione per assicurare risorse economiche e personale destinate ai concetti sopra, definendone utilizzi e responsabilità. Ed infine misura le performances dell’applicazione e definisce un piano di continuo mantenimento e supporto. Tutto ciò garantisce un mantenimento della conformità (rispetto del Regolamento), con uno sforzo inferiore, basato su piccoli elementi: monitoraggio continuo e dimostrazione effettiva dell’esecuzione del piano.
ISO in pratica
Elementi fondamentali della messa in pratica della norma ISO sono gli “Annex” ovvero gli allegati dove sono riportati gli elementi ed i criteri fondamentali per adeguare il Sistema di sicurezza; riportiamo un estratto dell’Annex A/27002:2013 5 Politiche per la sicurezza delle informazioni 5.1 Indirizzi della direzione per la sicurezza delle informazioni 6 Organizzazione della sicurezza delle informazioni 6.1 Organizzazione interna 6.2 Dispositivi portatili e telelavoro 7 Sicurezza delle risorse umane 7.1 Prima dell’impiego 7.2 Durante l’impiego 7.3 Cessazione e variazione del rapporto di lavoro 8 Gestione degli assets 8.1 Responsabilità per gli assets 8.2 Classificazione delle informazioni 8.3 Trattamento dei supporti 9 Controllo degli accessi 9.1 Requisiti di business per il controllo degli accessi 9.2 Gestione degli accessi degli utenti 9.3 Responsabilità dell'utente 9.4 Controllo degli accessi ai sistemi e alle applicazioni 10. Crittografia 10.1 Controlli crittografici 11 Sicurezza fisica e ambientale 11.1 Aree sicure 11.2 Apparecchiature 12 Sicurezza delle attività operative 12.1 Procedure operative e responsabilità 12.2 Protezione dai malware 12.3 Backup 12.4 Raccolta di log e monitoraggio 12.5 Controllo del software di produzione 12.6 Gestione delle vulnerabilità tecniche 12.7 Considerazioni sull’audit dei sistemi informativi
ISO in pratica 13 Sicurezza delle comunicazioni 13.1 Gestione della sicurezza della rete 13.2 Trasferimento delle informazioni 14 Acquisizione, sviluppo e manutenzione dei sistemi 14.1 Requisiti di sicurezza dei sistemi informativi 14.2 Sicurezza nei processi di sviluppo e supporto 14.3 Dati di test 15 Relazioni con i fornitori 15.1 Sicurezza delle informazioni nelle relazioni con i fornitori 15.2 Gestione dell’erogazione dei servizi dei fornitori 16 Gestione degli incidenti relativi alla sicurezza delle informazioni 16.1 Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti 17 Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa 17.1 Continuità della sicurezza delle informazioni 17.2 Ridondanze 18 Conformità 18.1 Conformità ai requisiti cogenti e contrattuali 18.2 Riesami della sicurezza delle informazioni Basandosi ad esempio su questi requisiti si può creare un sistema di controllo e mantenimento della Sicurezza “in proprio” senza dover necessariamente avere una certificazione in merito.
Misura del rischio
La misura del rischio deve tenere conto del beneficio di circolazione delle informazioni in Azienda e delle possibilità di accesso e divulgazione indesiderati, del valore delle informazioni rispetto al danno procurato se venissero sottratte o distrutte, della convenienza degli interventi per la riduzione o mitigazione rispetto al recupero del danno. Elenchiamo alcuni parametri per misurare il rischio ed il GAP di sicurezza rapportati al ciclo di vita dei dati. In fase di raccolta: •
Raccolta eccessiva
•
Raccolta illecita
•
Registro Trattamenti inadeguato
In fase d’uso: •
Uso improprio rispetto al trattamento (intenzionale o accidentale)
•
Accesso inadeguato o illegittimo
•
Violazione (data breach)
•
Mancata risposta alle richieste dell’interessato
In fase di comunicazione: •
Condivisione eccessiva (con soggetti non autorizzati)
•
Divulgazione illecita
•
Restrizioni transfrontaliere
In fase di rilascio/cessazione: •
Conservazione troppo lunga
•
Cancellazione errata o eccessiva (accidentale o intenzionale)
•
Comunicazione alle controparti a “catena”
Adempimenti mettersi in regola accountability strumenti di verifica
DIRITTI DEGLI INTERESSATI Artt.11 e 12 GDPR
Il Titolare deve agevolare l’esercizio dei diritti dell’interessato adottando misure idonee (es: richiesta automatica), può farsi aiutare dal Responsabile. Il Titolare ha diritto di richiedere le informazioni necessarie ad identificare l’interessato e questi ha il dovere di fornirle. I diritti dell’interessato si concretizzano in ●
Diritto di accesso, con diritto di ricevere copia, prevede la comunicazione dell’esistenza dei dati, del trattamento, del periodo di conservazione, dell’eventuale trasferimento verso paesi esteri.
●
Diritto di rettifica, il dato è modificato su richiesta dell’interessato.
●
Diritto di cancellazione (oblio), prevede su richiesta, dove non necessario per obblighi derivanti da contratto o per legge, la cancellazione di ogni copia e link del dato, con eventuale revoca del trattamento concesso.
●
Diritto di limitazione, esercitabile in caso di rettifica o di violazione dei presupposti, prevede il blocco di tutte le attività esclusa la conservazione.
●
Diritto di portabilità, non applicabile agli archivi cartacei, prevede che i dati vengano
comunicati ad
un
altro
operatore indicato
dall’interessato, ove tecnicamente possibile, in formato elettronico. I tempi di risposta all’interessato non devono eccedere un mese e il riscontro deve essere gratuito; si estendono fino a 3 mesi per casi di particolare difficoltà, da dimostrare, o per richieste manifestamente infondate o eccessive (anche ripetitive). Sono ammesse deroghe per finalità statistiche, storiche o giornalistiche (vedasi art.17 e artt.83,89 GDPR)
LA BASI PER LA LEGITTIMITÀ Artt.13 e 14 GDPR
Per effettuare un trattamento “legittimo” si devono sempre identificare alcuni parametri fondamentali, quali la “base giuridica” su cui si fonda (consenso, adempimenti di legge, ecc.), la necessità o meno di un consenso o di un interesse legittimo e da qui costruire la struttura dell’informativa da consegnare al cliente. In particolare l’informativa deve: ●
SEMPRE essere resa disponibile all’utente prima della raccolta dei dati
●
se i dati non sono raccolti presso l’interessato deve essere comunicata entro un termine ragionevole, comunque non superiore ad 1 mese, e comunque entro l’inizio di qualunque Trattamento
●
può essere fornita in modo elettronico (preferibile)
●
deve essere espressa in modo semplice, anche con icone, in modo che sia comprensibile
●
può essere consegnata anche in forma semplificata (es: in calce al documento fattura) purché rimandi all’informativa completa
L’informativa deve contenere almeno le seguenti voci: ●
Base giuridica o interesse legittimo
●
Trasferimento dati all’estero e con quali strumenti
●
Periodo di conservazione e con quali strumenti
●
Riepilogo dei diritti dell’interessato (rettifica, cancellazione, ecc.)
●
Esistenza di processi automatizzati e loro conseguenze
●
Eventuali limiti dovuti al mancato conferimento
●
Contatti del Responsabile o DPO o, in mancanza, del Titolare
10 passi per adeguarsi 1- Valutazione della compliance In
questo
passaggio
si
devono
raccogliere
tutte
le
informazioni
sull’organizzazione dell’Azienda, sul personale e sui dati raccolti e trattati, definendo gli assets e misurando il GAP della struttura rispetto alle richieste del GDPR. Questa fase di check normalmente comporta l’analisi della documentazione relativi a diversi progetti aziendali: ●
Impianti di antifurto e videosorveglianza
●
Impianti tecnici (elettrico, antincendio, ecc.)
●
Schede dipendente e mansionario/organigramma
●
Contratti con i fornitori di beni e servizi
●
Analisi della strumentazione e delle licenze software
●
Analisi della documentazione o di eventuali Certificazioni
●
Ecc…
2- Creazione del registro Il Registro (affrontato in dettaglio nel cap.6) anche se è “opzionale” per le piccole imprese, è comunque uno strumento suggerito dagli esperti del settore e consigliato dal Garante stesso; la richiesta è giustificata dal fatto che è l’unico documento che tiene traccia dei Trattamenti, delle nomine ed incarichi e di tutte le operazioni eseguite sui dati degli interessati. In pratica è l’unica traccia delle misure di sicurezza e delle procedure organizzative
adottate
che
può
essere
portata
a
dimostrazione
dell’attivazione delle operazioni di adeguamento e analisi, della volontà di adeguamento e dell’effettiva messa in opera e adozione delle misure idonee richieste dal GDPR (con relativa valutazione di rischi e procedure di mitigazione).
10 passi per adeguarsi 3- Stesura della documentazione È probabile che l’Azienda abbia già adottato alcune misure precedentemente (come previsto dal D.Lgs 196/03), ma che queste debbano essere armonizzate ed adeguate alla nuova normativa. Questo passo prevede che vengano integrate, modificate, aggiornate le procedure ed i documenti (es: informativa cartacea o sul sito) secondo le regole del GDPR. Una particolare attenzione andrà data a tutte le richieste di consenso, che dovranno essere distinte e inequivocabili (senza caselle prespuntate e suddivise per Trattamento); da verificare anche la necessità di adeguamento degli strumenti di marketing (newsletter, profilazione, ecc.) che potrebbero richiedere
pesanti
modifiche
per
rientrare
nelle
politiche
di
informativa/consenso più restrittive.
4- Individuare ruoli e Responsabilità Il Titolare deve identificare, a cascata, tutte le persone che hanno ruoli inerenti la privacy (operativi o strategici); in pratica devono essere identificati tutti i Responsabili dei Trattamenti, che siano interni od esterni, e gli incaricati e devono essere consegnate le lettere di nomina o i contratti di incarico (es: DPO). Inoltre si deve eseguire il processo di formazione ed informazione (anche internamente) per poter consegnare a ciascuno precise istruzioni sulle operazioni da eseguire per effettuare i Trattamenti in sicurezza e secondo le regole previste ed autorizzate dal Titolare.
10 passi per adeguarsi 5- Definizione Policy e Valutazione Rischi Per rispettare il principio di “accountability” (responsabilità) del Titolare è necessario che si possano dimostrare le attuazioni delle politiche di sicurezza. L’operazione si può eseguire solo attraverso lo studio e la progettazione delle policy stesse, la loro attuazione e certificazione, nonché eseguendo la valutazione dei rischi e documentandola, per dimostrare che quanto è stato “progettato” ha un obbiettivo reale ed è efficace per contrastare il rischio.
6- Data Breach e Reporting Il Data Breach sarà affrontato in dettaglio nei prossimi capitoli (v. cap.7); uno dei passi necessari per adeguarsi però è quello di prevedere procedure specifiche per scoprire le violazioni e gli attacchi e generare una reportistica per poter procedere (nei casi specifici) alla denuncia della violazione subita e alla riduzione dei danni causati, nonché agli avvisi agli interessati.
7- Valutazione di impatto Come visto precedentemente (v. cap.3) la Valutazione di Impatto (DPIA) serve ad assicurare che il Trattamento sia eseguito sotto adeguata protezione; con questa operazione vengono valutati gli aspetti critici (rischi) a cui sono soggetti i dati, prima che questi vengano trattati, permettendo di introdurre sistemi di sicurezza o mitigazione del rischio, o effettuando le notifiche preventive all’Autorità di Controllo dove necessario.
10 passi per adeguarsi 8- Processi per la tutela dei diritti In questa fase devono essere studiati ed attuati i provvedimenti per l’esercizio dei diritti dell’interessato, includendo tutte le fasi preventive (Privacy by design e by default), le funzioni di anonimizzazione e criptazione dei dati, i sistemi di backup e business continuity e business integrity. Il lavoro va eseguito a 360°, dalla sicurezza fisica e ambientale (firewall, controllo accessi, ecc.) fino al livello logico (credenziali, policy autorizzative, ecc.), così da poter garantire risposte congrue alle richieste degli interessati.
9- Nomina di un DPO -Data Protection Officer Non tutte le aziende dovranno nominare un DPO, come vedremo in seguito, ma se previsto, questo deve essere selezionato come persona di fiducia ed altamente qualificata, che oltre a dover garantire una sicurezza al sistema deve fornire massima reperibilità per ogni evento che si verifica in ambito privacy, sia come studio preventivo, sia come risposta ad una criticità. L’incarico di DPO deve essere formalizzato ed è previsto che sia per almeno 2 anni, per poter essere efficace nella gestione dell’azienda ed entrare nelle logiche specifiche del settore garantendo continuità al suo operato.
10- Formazione e Consapevolezza Elemento da mantenere costantemente aggiornato: la formazione del personale non deve essere fatta solo al momento dell’assunzione o quando viene cambiato l’incarico, ma anche quando cambiano condizioni e strumenti del Trattamento, quando ci sono evoluzioni tecnologiche o segnalazioni di criticità da portare a conoscenza per prevenire danni. Un Piano di Formazione Continua (PFC) è consigliato per mantenere alta l’attenzione e la consapevolezza del personale.
DPO – Data Protection Officer
Il Data Protection Officer è una figura la cui responsabilità è quella di osservare, valutare e organizzare i Trattamenti dei Dati Personali, inclusi quelli che coinvolgono la loro protezione, affinché siano corrispondenti alle normative privacy vigenti. È previsto specificamente dall’art.37 del GDPR ed è designato dal Titolare, a cui risponde direttamente senza avere altri superiori gerarchicamente, per poter difendere la propria indipendenza decisionale. Suo compito quello di formare e assolvere le funzioni di controllo interno, oltre a cooperare con l’Autorità. Perciò i riferimenti devono essere comunicati al Garante attraverso specifici moduli e devono essere portati a conoscenza degli Interessati (tramite l’informativa) i recapiti a cui può essere contattato. Non sono richieste specifiche attestazioni o iscrizioni ad albi professionali, ma deve possedere un’approfondita conoscenza in tema di privacy e relative prassi, dimostrare abilità in campo tecnico e tecnologico e possedere cultura legale e amministrativa, nonché essere cosciente della struttura aziendale che controlla e gestisce e delle sue procedure operative. Deve avere una professionalità adeguata alla complessità di manutenzione di un Sistema di Gestione Informazioni, essere dotata di potere decisionale indipendente, avere a disposizione mezzi economici, persone e locali per poter svolgere la propria funzione. Deve infine essere dotata di integrità etica e morale e godere della piena fiducia del Titolare che lo incarica. Sono tenuti alla nomina i soggetti che: ●
Trattano monitoraggio regolare e sistematico degli interessati
●
Trattano dati particolari e sensibili come core business
●
Trattano dati relativi a condanne penali e reati
●
Tutti gli Enti pubblici
(quindi Banche, Aziende Sanitarie, Istituti di Vigilanza, Telecomunicazioni, ecc.)
DPO – Data Protection Officer
Dalla definizione precedente e dai par.1 lett. b) e c) dell’art.37 sono quindi esclusi dalla nomina i piccoli imprenditori e le piccole imprese che trattino solo dati relativi a personale dipendente, a clienti e fornitori o trattino dati particolari come sola attività accessoria (es: videosorveglianza privata). Ad oggi non sono esclusi però i piccoli studi medici e tutte le attività che trattano dati sensibili come core business. In aiuto può intervenire la possibilità di nominare un “DPO part-time” dimostrando che l’attività parziale è sufficiente a colmare la necessità del Trattamento. In tal caso, per il principio di Responsabilizzazione, deve essere espressamente messa a Registro la nota per validare la riduzione del rischio adottata. Questa possibilità potrà essere ulteriormente ratificata dalle semplificazioni che, secondo il D.Lgs 101 del 4/9/2018GU, il Garante dovrà adottare per la semplificazione degli oneri delle piccole e microimprese. Il DPO può essere una figura interna o esterna, se esterna può essere anche una persona giuridica o società purché al suo interno venga identificata una persona fisica di riferimento e che garantisce l’assolvimento di tutti i compiti soprattutto la reperibilità. In ogni caso il DPO va nominato con atto di designazione, se interno, oppure operare in base ad un contratto di servizi, che indichi espressamente i compiti attribuiti, se esterno. Il compito di DPO è compatibile con altri incarichi, purché non si trovi in conflitto di interessi. Si valuti che con la nomina di un DPO non si “sgravano” le responsabilità del Titolare, il quale è sempre l’elemento di riferimento per l’autorizzazione di qualunque attività; non risulta pertanto utile la nomina di personale “non qualificato” per poter sgravare l’onere, sarebbe meglio invece incentivare la scelta di personale competente, che grazie alle proprie capacità “riesca a mantenere indenne da richieste di danno l’Azienda”.
REGISTRO nozioni per la compilazione di un Registro dei Trattamenti
Il Registro dei Trattamenti - RdT Art.30 Reg.UE 2016/679 Il RdT è un obbligo esclusivamente per le aziende che abbiano trattamenti di dati particolari, sensibili o giudiziari, o abbiano più di 250 dipendenti. La tenuta del RdT non è un adempimento puramente formale, ma fa parte di una più ampia “Gestione dei Dati Personali” e del loro Sistema di Sicurezza (ISMS). Una raccomandazione del Garante però invita TUTTI i Titolari del Trattamento, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi per dotarsi di tale registro e, in ogni caso, compiere una ricognizione dei trattamenti svolti e delle loro caratteristiche; questo viene motivato da un duplice scopo: 1) Dotarsi di uno strumento che DIMOSTRI l’avvenuto controllo 2) SVOLGERE i compiti (classificazione e valutazione) come da Regolamento Il RdT non può dunque essere uno strumento “statico”, ma deve riportare correttamente, e coerentemente, tutte le variazioni intercorse nelle tipologie di trattamento e nelle nuove gestioni; sono quindi da aggiornare periodicamente le nomine, i tipi di dato e di trattamento, i Responsabili Esterni
e
gli
Incaricati
(in
funzione
delle
partnership
e
delle
assunzioni/licenziamenti); devono essere indicati correttamente gli archivi ed il loro posizionamento, e gli strumenti che assicurano integrità e riservatezza. Devono essere indicati i rischi e le criticità e gli strumenti adottati per mitigarle; devono essere indicate le valutazioni fatte ed ogni altro elemento utile ad indicare l’effettiva mobilitazione dell’azienda per raggiungere la compliance. Man mano che l’azienda evolve, il RdT deve crescere di conseguenza, riportando ogni elemento di adattamento, meglio se migliorativo, relativo alla Sicurezza dei Dati Personali. Per questo non può essere un semplice “tracciato standard” ma deve fotografare lo stato aziendale nei vari momenti dell’adeguamento.
Il Registro dei Trattamenti - RdT Art.30 Reg.UE 2016/679 Il RdT deve contenere: a) Il nome ed i dati di contatto del Titolare, del CoTitolare o dei loro Rappresentanti, nonché del DPO (se previsto) b) Le finalità del Trattamento c) Una descrizione delle categorie degli interessati e dei dati personali d) Le categorie di destinatari cui i dati saranno comunicati, e) Eventuali Paesi Terzi f) I termini di cancellazione dei dati g) Una descrizione delle misure di sicurezza, tecniche ed organizzative Il RdT deve essere esibito su richiesta dell’Autorità di Controllo. È facoltà del Titolare includere informazioni aggiuntive, se ritenuto opportuno, proprio nell’ottica di gestire complessivamente la valutazione di impatto e della conformità del trattamento. Nostro suggerimento è di includere nel Registro anche elementi che prevedano la dimostrazione delle attività di: ●
Audit (ISO:19015)
●
Check Sistema Sicurezza (ISO:27001)
●
Formazione continua
●
Valutazione degli elementi di “Buone Prassi”
Il Registro dei Trattamenti - RdT Artt.44-50 Reg.UE 2016/679 Il RdT deve contenere anche le specifiche di eventuali trasferimenti verso Paesi Terzi, facenti o meno parte della Comunità Europea. In tal caso il RdT deve indicare secondo quale principio viene eseguito il Trattamento. Nel caso di trasferimento a Paesi Terzi infatti si deve fare riferimento a specifiche indicazioni per assicurare un adeguato livello di sicurezza e si differiscono tre tipologie: 1) Trasferimento per adeguatezza (art. 45) La Comunità Europea ha espresso in determinati casi la decisione di adeguatezza con accordi internazionali in materia di trasferimento dei dati, un esempio è il Privacy Shield. L’elenco dei Paesi è consultabile qui: https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativacomunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#1
2) In base a garanzie adeguate (artt. 46 e 47) Esiste, in subordine al punto precedente, la possibilità di adottare strumenti giuridici riconosciuti internazionalmente per garantire l’adeguatezza del Trattamento, in particolare le “Norme Vincolanti d’Impresa – BCR”, con le quali si certifica che il trattamento minimo del dato rispetta il vincolo preso dalla più alta delle restrizioni. 3) In base a deroghe al divieto (art. 49) Ad esempio se il consenso dell’interessato venga espresso dopo aver comunicato gli eventuali rischi, o dietro espressa pattuizione, o in altri casi di interesse pubblico o di tutela vitale dell’interessato (es: trasferimento per motivi medici). Ognuna di queste possibilità deve essere citata nel RdT se adottata come misura.
Il Registro dei Trattamenti - RdT Compilazione Il RdT, come detto precedentemente, deve rispecchiare lo stato veritiero dell’organizzazione cui si riferisce e delle operazioni che questa svolge. Questo non vuol dire che si debbano escludere a priori gli strumenti di ausilio alla compilazione e manutenzione (i cosiddetti “Software GDPR”). Tali strumenti sono molte volte utili se usati correttamente: la compilazione di un Registro attraverso essi non deve limitarsi solamente ad una questione meccanica, ma devono servire per mettere sotto forma di documento “organizzato” il ragionamento ed il procedimento di analisi effettivamente legato alla realtà aziendale. Esistono dunque software che compilano correttamente le lettere di nomina, l’elenco dei trattamenti e gli archivi informatici su cui sono svolti, censiscono il parco macchine e lo stato di formazione dell’utente/incaricato. Esistono anche programmi che permettono di schedulare le attività e i controlli, pianificando gli interventi correttivi e di verifica. Ma tutti questi prodotti, senza un’analisi della situazione eseguita da una persona competente (o dal “consulente privacy”), rischiano di diventare dei semplici “copia e incolla”, che al momento della verifica crollano perché non identificativi della realtà che descrivono. Ricordate infatti che la mancata corrispondenza tra quanto
esistente e quanto
documentato
viene
interpretata come inadempienza dall’Autorità di Controllo, mancando di fatto il nesso tra responsabilità (accountability) e certificazione.
Sicurezza vademecum per le prime operazioni di salvaguardia
Sicurezza Informatica
Con il termine Sicurezza Informatica si intende quel ramo che si occupa dell’analisi delle vulnerabilità, del rischio e delle minacce o attacchi, nonché dei sistemi di protezione di integrità e disponibilità del sistema e dei dati in esso contenuti. In un’ottica moderna di “valorizzazione” del dato, la sua protezione diventa fondamentale ed è l’obbiettivo principale di quasi tutti gli attacchi hacker. Il valore intrinseco del dato determina lo sforzo per entrarne in possesso e di conseguenza deve indicare anche il proporzionale sforzo per la difesa. La protezione deve impedire quindi la sottrazione o la limitazione di accesso al dato, e contemporaneamente la sua disponibilità agli utenti autorizzati ed ai proprietari dello stesso, per garantire la continuità operativa. La protezione può essere intesa di livello fisico e logico/funzionale, distinguendo tra i concetti di sicurezza attiva e passiva. Si parla di sicurezza passiva quando si attuano tecniche di tipo “difensivo”, il cui obiettivo è impedire che utenti non autorizzati possano accedere alle risorse; ne sono esempi fisici le porte blindate, locali protetti, e a livello logico, firewall e password. Con la sicurezza attiva invece si intendono le tecniche attraverso le quali i dati sono resi sicuri attraverso sistemi di criptazione o conservazione anonima. I due tipi di sicurezza sono complementari e non devono essere adottati distintamente, ma devono creare una serie di barriere fra l’attaccante e l’obiettivo con lo scopo di scoraggiare o fermare la violazione. Le operazioni sopra identificate devono essere adottate in ogni momento dell’elaborazione
del
dato,
dall’acquisizione,
alla
trasmissione,
fino
all’immagazzinamento (storage), così da tutelare l’informazione in ogni stato di avanzamento della sua elaborazione o utilizzo.
Sicurezza Informatica Esistono specifiche norme internazionali che permettono la gestione della sicurezza in modo pragmatico ed oggettivo, tali consuetudini, come citato prima, si raggruppano sotto la normativa ISO 27001. Analizzando in particolare l’ambito della società dell’informazione, dove il trattamento informatizzato dei dati prevale su quello in senso assoluto del dato, la branca principale di competenza è quella della Cybersecurity, ovvero la sicurezza della struttura informatica. Un attacco informatico (cyber attack) è una manovra messa in atto per colpire sistemi informativi, infrastrutture o reti con atti malevoli intenzionati al furto, all’alterazione o alla distruzione di obiettivi informatici. Sono quindi strumento di un cyber attacco i malware, lo spam, l’uso di tecniche di DdoS o sniffing, fino alle sofisticate tecniche di Social Engineering, che usano l’uomo come mezzo per arrivare al computer e quindi al dato contenuto in esso. Da qui consegue che esistono diversi tipi di attacco e diversi tipi di protezione adottabili, che andremo ad analizzare di seguito, ma fondamentalmente gli aspetti di protezione del dato riguardano: ●
Disponibilità, ovvero garantire l’accessibilità agli utenti che ne hanno diritto, nel momento in cui ne hanno bisogno;
●
Integrità, ovvero il grado di correttezza, completezza ed affidabilità delle informazioni registrate, in tutte le fasi dell’elaborazione;
●
Riservatezza, ovvero la limitazione di accesso alle risorse ed informazioni alle sole persone autorizzate, sia durante la fase di comunicazione che di elaborazione; questo elemento è il più influenzato dal fattore umano;
Oltre ad altri due elementi vincolanti per i sistemi “condivisi”: ●
Autenticità, ovvero il modo di garantire che il dato possa essere attribuito con certezza al legittimo autore;
●
Non Ripudio, che al contrario è il modo per cui un autore non possa disconoscere il dato che gli appartiene.
Tipi di attacco
Analizziamo ora alcuni dei metodi più comuni per realizzare attacchi informatici. Sniffing/PortScanning Sono metodi che permettono di intromettersi nelle comunicazioni fisiche tra client e server individuando eventuali porte di comunicazione aperte. Passa attraverso una fase di analisi dei dispositivi e del traffico generato, prendendo di mira le macchine che "convogliano i pacchetti" (router, proxy server, ecc.), utilizzando programmi chiamati sniffer o scanner, che oltre ad intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso. Obiettivi: server vulnerabili e pagine web non protette DoS/DDoS Gli attacchi DoS sono le minacce più comuni: saturano i dispositivi rendendoli non disponibili agli utenti e generando disfunzioni che permettono di bypassare i sistemi di sicurezza. In un attacco DdoS, il sistema attaccante viene “distribuito” per inviare il traffico a una destinazione, aumentando l'impatto ed evitando che venga intercettata la sorgente dell'attacco. Obiettivi: firewall, server e in generale dispositivi di tipo hardware che abbiano punti di accesso “pubblici” Command injection/SQL injection Si immettono comandi in un'applicazione o database per eseguirli al posto delle applicazioni autorizzate; questi comandi possono servire per visualizzare dati, cancellarli o assumere il controllo del server. Le "injection flaws" (ovvero le vulnerabilità) si verificano quando manca la convalida dei dati di input di base lasciando la possibilità di scrivere "codice" in campi testo così si può manipolare l'input per includere dati “pirata” in un comando o in una query e far rispondere il server a proprio piacimento. Obiettivi:pagine di login, i moduli di richiesta di supporto e di prodotti, i moduli di feedback, le pagine di ricerca e i carrelli di acquisto
Tipi di attacco Remote File Inclusion e Local File Inclusion Consente di utilizzare uno script per inserire un file remoto (cioè presente sul server dell’hacker) sul server web aziendale. La Local File Inclusion (LFI) è simile ma possono essere inclusi solo file locali, ovvero file sul server corrente. L'hacker a quel punto può svolgere ogni azione, fino ad assumere il controllo del server; per eseguire questo attacco si deve prima prendere il controllo di un accesso, per poter caricare il file sul sistema; questo può avvenire anche a cura di personale "autorizzato" o tramite l'utilizzo di accessi "rubati". Obiettivi: server vulnerabili e pagine web non protette, server gestito da personale infedele o password poco protette Attacchi account checker Punta ai dati di accesso dei clienti: usando script per indovinare combinazioni di ID utente/password, o installando software sul dispositivo per "carpire" ciò che viene digitato. Una volta crackato l'account, si sottraggono i dati personali (generalmente la sua carta di credito) per utilizzarli in altre frodi. Attacchi al DNS Il DNS (Domain Name Service) è il servizio che traduce i nomi dominio in indirizzi IP numerici raggiungibili dai dispositivi; è un anello debole perché esposto direttamente su internet ed è gestito da realtà esterne, non sotto diretto controllo dell'azienda, quindi è possibile "nascondere" gli attacchi. Hijacking del registrar: gli attacchi utilizzano tecniche di social engineering contro i dipendenti dell'assistenza clienti del registrar. Se si riesce a compromettere l'account si ottiene il controllo del nome di dominio e lo si può dirottare su qualsiasi server, accedendo a servizi di posta elettronica, simulando server di transazione o addirittura di pagamento. Reindirizzamento/cache poisoning: tendono a inquinare traffico o cache dei server DNS per ottenere il reindirizzamento delle richieste sui propri server e da questi operare tramite tecniche di “furto di dati”.
Tipi di attacco Exploit Genericamente è un codice di vulnerabilità presente in programmi o Sistemi Operativi, che può essere sfruttato per accedere alla macchina. Si risolve applicando le patch consigliate dai produttori di software. Obiettivi: sistemi e programmi presenti sui PC Backdoor Sono parti di codice lasciate intenzionalmente dal programmatore per poter sfruttare l’accesso “non controllato” al programma ed eseguire le funzioni presenti sulla macchina. Normalmente vengono diffusi tramite programmi gratuiti che si spacciano per funzionanti e lasciano aperte falle intenzionali per eseguire codice remoto. Obiettivi: sistemi e programmi presenti sui PC Trojan e Virus/Malware Normalmente sfruttano programmi che si scaricano (intenzionalmente o meno) tramite internet o mail. Normalmente possono eseguire direttamente del codice, in tal caso sono facilmente riconoscibili dai sistemi antivirus, perché il codice malevolo è esposto; in altri casi possono collegarsi a server remoti da cui scaricare il codice malevolo, così che il sistema locale di antivirus abbia maggiori difficoltà ad intercettare le azioni. Un particolare tipo di malware è il Ransomware (o Cryptolocker) che agisce prendendo “in ostaggio” i dati. L’effetto è l’esecuzione di un programma di criptazione molto complesso che blocca tutte le informazioni (copie comprese) impedendone la lettura da parte dell’utente, che per avere la chiave di sblocco, deve pagare un riscatto. La diffusione di questi programmi avviene normalmente tramite mail di phishing, ovvero messaggi che traggono in inganno il destinatario fingendo di essere reali interlocutori che necessitano di inviare fatture o allegati contenenti il codice malevolo. Obiettivi: sistemi operativi e dati
Tipi di attacco Dispositivi esterni (BYOD) L'utilizzo di dispositivi dei dipendenti in azienda (BYOD = Bring Your Own Device) è una pratica pericolosa se non si verifica ANCHE lo strumento in questione. Quando qualcuno usa il proprio smartphone o tablet in azienda, collegandolo alla rete, sta creando un punto di accesso "autorizzato" a chiunque abbia potuto installare sul dispositivo software malevolo. Diventa pericoloso quindi se le attività non sono autorizzate e le applicazioni non vengono eseguite in un ambiente protetto, così che siano "verificate e controllate". Lo stesso problema si ha se vengono installati programmi “di prova” o non autorizzati; o se apriamo mail che non provengono da fonti certificate, o se non abbiamo i dispositivi di sicurezza “minimi” installati (antivirus, firewall), che devono essere ormai di uso comune. L’uso quotidiano degli strumenti ICT è ormai pratica comune e necessaria per svolgere le attività lavorative più frequenti. Non possiamo quindi ignorare la necessità di proteggerci, così come non possiamo ignorare le pratiche comuni di difesa. E se non possiamo mantenere alta l’attenzione costantemente, dobbiamo dotarci di strumenti che lo facciano per noi, per evitare che le disattenzioni comportino violazioni.
Data Breach Estratto del Regolamento Il Data Breach è una violazione di sicurezza che comporta, accidentalmente o intenzionalmente, la perdita, la modifica, la distruzione o la divulgazione non autorizzata, o l'accesso ai dati personali oggetto di Trattamenti. La definizione viene data dall’art. 4 del GDPR, che fa capo ad alcuni considerando:
Art.4 par.12 «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; In particolare nei considerando da 85 a 88 (85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il Titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il Titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo. (86) Il Titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi. Tali comunicazioni agli interessati dovrebbero essere effettuate non appena ragionevolmente possibile e in stretta collaborazione con l’autorità di controllo e nel rispetto degli orientamenti impartiti da questa o da altre autorità competenti quali le autorità incaricate dell’applicazione della legge. Ad esempio, la necessità di attenuare un rischio immediato di danno richiederebbe che la comunicazione agli interessati fosse tempestiva, ma la necessità di attuare opportune misure per contrastare violazioni di dati personali ripetute o analoghe potrebbe giustificare tempi più lunghi per la comunicazione. (87) È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato. Siffatta notifica può dar luogo a un intervento dell’autorità di controllo nell’ambito dei suoi compiti e poteri previsti dal presente regolamento. (88) Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d’identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell’applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l’indagine sulle circostanze di una violazione di dati personali.
Data Breach Comportamento Dalle nozioni precedenti si evince che: ●
Il Data Breach DEVE essere gestito
Devono essere limitati i danni, deve essere valutata la portata della violazione e le sue conseguenze, devono essere adottate misure di sicurezza perché non accada nuovamente, deve essere riportato tutto il processo di scoperta. ●
Il Data Breach DEVE essere denunciato/comunicato a interessati e Autorità
Come previsto dagli artt. 33 e 34 del GDPR entro il termine di 72 ore dalla scoperta della violazione si deve effettuare comunicazione all’Autorità di controllo e nel caso in cui le libertà degli interessati siano compromesse (o i danni possano essere diretti) anche a TUTTI gli interessati. ●
Il Data Breach DEVE comportare dei meccanismi di risoluzione e protezione per recuperare e arginare i danni
Da qui consegue che se vi sono state insufficienti premure e si ravvisino violazioni (es: valutazione dei rischi non eseguita) il Data Breach comporta una sanzione e un risarcimento del danno agli interessati.
Data Breach Comportamento La notifica deve contenere: ●
La descrizione della natura della violazione
●
Il numero e le categorie dei dati interessati
●
Il nome del Responsabile della protezione dei dati
●
Eventuali probabili conseguenze della violazione
●
Le misure adottate per porvi rimedio o attenuarne gli effetti negativi
Nel caso in cui si debba procedere alla comunicazione all’interessato si dovranno fornire, oltre ai dati di cui sopra anche: ●
Un nome o i dati di contatto di un Responsabile della Protezione presso cui ottenere maggiori informazioni
●
Una comunicazione in forma semplice, chiara e comprensibile che spieghi la natura della violazione
È quindi utile agire in maniera preventiva per avere a disposizione strumenti di controllo e tracciabilità delle violazione e poter giustificare di aver adottato tutte le misure di sicurezza adeguate per la protezione dei dati personali, da qui si ottiene la conferma della necessità di: ●
Un idoneo quadro di gestione rischi (valutazione impatto)
●
Una corretta tenuta del registro (anche se non obbligatorio)
●
Un piano di reazione alle violazioni
●
Una adeguata formazione del personale
Ovviamente la violazione prevede che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato possa proporre un reclamo all’Autorità di Controllo; e che a prescindere, la stessa Autorità potrà valutare la necessità di applicare le sanzioni previste, in modo effettivo, proporzionato e dissuasivo.
Sanzioni Art.83 GDPR La violazione degli obblighi previsti dagli artt. 8,11, da 25 a 39, 42 e 43 è soggetta a sanzioni: ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●
Art.8 - Consenso dei minori Art.11 – Trattamento che non richiede l’identificazione Art.25 – Privacy by design e by default Art.26 – Contitolari del Trattamento Art.27 – Rappresentanti o Responsabili non stabiliti nell’UE Art.28 – Responsabile del Trattamento Art.29 – Trattamento Art.30 – Registro dei Trattamenti Art.31 – Cooperazione con l’Autorità di Controllo Art.32 – Sicurezza del Trattamento Art.33 – Notifica della violazione all’Autorità di Controllo Art.34 – Comunicazione della violazione all’interessato Art.35 – Valutazione d’impatto Art.36 – Consultazione preventiva Art.37 – Designazione del Responsabile della Protezione (DPO) Art.38 – Posizione del DPO Art.39 – Compiti del DPO Art.42 – Certificazione Art.43 – Organismi di Certificazione
Sempre secondo lo stesso articolo: "al momento di infliggere una sanzione amministrativa e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito dei seguenti elementi: a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal Titolare del trattamento o dal Responsabile del Trattamento per attenuare il danno subito dagli interessati; d) il grado di responsabilità del Titolare del trattamento o del Responsabile del Trattamento tenendo conto delle misure tecniche e organizzative messe in atto ai sensi degli art. 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal Titolare del trattamento o dal Responsabile del Trattamento; f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l’autorità ha preso conoscenza della violazione, in particolare se e in che misura il Titolare del trattamento o il Responsabile del Trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del Titolare del trattamento o del Responsabile del Trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione”
Adeguamento passi e strumenti per il raggiungimento della compliance operativa
Compliance e Valutazioni sappiamo come è fatta la nostra organizzazione? La valutazione del sistema informativo deve essere fatta con i Responsabili del Sistema (Amministratori di Sistema, Tecnici di rete ed hardware, ecc.). In particolare vanno valutate le posizioni dei dati e le strutture che devono essere protette, per identificare gli strumenti di protezione più adeguati. Passo 1: Analisi e classificazione delle informazioni da proteggere Identificare tutti i Trattamenti dei dati personali e gli archivi che li contengono, alcuni esempi di dati personali possono essere: nome e cognome, codice fiscale, numeri telefonici o indirizzi e-mail, fino ai dati “sensibili” quali informazioni su stato di salute, bancarie o giudiziarie. Passo 2: Identificare i programmi che eseguono il trattamento I dati sono gestiti da applicativi, anche molto comuni, presenti in azienda, o usati su piattaforme web. Alcuni esempi sono: gestionali, CRM, software di paghe, client di posta elettronica, applicazioni web o portali bancari. Passo 3: Valutare la Gap Analysis La gap analysis consiste nella valutazione della differenza tra le richieste del GDPR e le procedure aziendali relative a: ●
Informativa privacy e corrispondenza ai trattamenti
●
Applicazione criteri di sicurezza (password, backup, ecc.)
●
Nomine di Responsabili Trattamento e Protezione
●
Analisi delle Valutazioni Rischi e Valutazioni di Impatto (DPIA)
Questo è il procedimento più lungo e passa attraverso diverse operazioni eseguite per realizzare un sistema di gestione delle informazioni che deve poi essere riepilogato nel Registro dei Trattamenti. Tutte le valutazioni devono essere eseguite valutando sia i sistemi interni, sia quelli esterni (es: sito web) e identificando i partner/fornitori a cui richiedere le opportune conformità (SLA), utilizzate per valutare l’affidabilità del Sistema fornito ed operare attraverso le opportune nomine di Responsabilità Esterna.
Strumenti utili e loro applicazioni La nostra struttura può aiutare nella gestione dell’adeguamento al GDPR, offrendo servizi di consulenza dedicati e fornendo alcuni strumenti che si rivolgono alla risoluzione delle problematiche esposte in questo manuale. In queste pagine, in linea generale, possiamo parlare dei prodotti più semplici ed accennare brevemente al contenuto dei servizi offerti, mentre per situazioni più articolate, dove diventa necessario adottare una strategia composta da più soluzioni, proponiamo su richiesta una visita gratuita per valutare adeguatamente necessità e opportunità di adeguamento. Recupero dati e Cancellazione sicura In caso di perdita dei dati sappiamo che esistono software e procedure con cui è possibile recuperare i dati, anche in mancanza di un backup, affidandosi a professionisti del settore come Kroll Ontrack. Ma non tutti sanno che la dismissione, lo smaltimento o il riutilizzo degli assets IT (i PC) rappresentano uno dei momenti di maggiore vulnerabilità per i dati. Le aziende che si apprestano a dismettere PC, dispositivi mobili o server spesso lo fanno senza precauzioni. Nella migliore delle ipotesi provvedono ad una sommaria eliminazione del contenuto lanciando qualche comando di cancellazione messo a disposizione dal sistema operativo, ma i dati personali e tutte le informazioni, rimarranno totalmente visibili e accessibili a chiunque avrà accesso a quell’hardware: basterà utilizzare un semplice software di recupero dati per ripristinare senza difficoltà i file che si credevano eliminati. Sfortunatamente il fatto che il contenuto non sia più visibile non significa che non sia più presente sul dispositivo. Questo tipo di cancellazione, che si definisce "semplice", comporta l'eliminazione dei puntatori che indicano al sistema operativo dove si trovano i file ma non l'eliminazione del contenuto. La cancellazione sicura invece agisce sul contenuto dei file: i dati cancellati in modo sicuro non sono più presenti e risultano impossibili da recuperare. La nostra struttura ha ottenuto la certificazione
Firewall, Antivirus e Backup I "vecchi MMS” Già nel D.Lgs 196/03 erano previste le “Misure Minime di Sicurezza” (MMS), che dovevano essere adottate per evitare sanzioni; questo dovrebbe voler dire che TUTTI hanno almeno un software antivirus, un firewall (sulla linea telefonica o sul PC) e almeno settimanalmente fanno i backup. Ma questo non necessariamente vuol dire aver adottato un ADEGUATO sistema di sicurezza! Molti antivirus vengono ancora scelti tra quelli gratuiti, i firewall sono quelli del modem fornito dal provider e i backup vengono fatti su chiavetta o su un disco fisso conservato sopra al server. Le criticità sono dietro l’angolo e la dimostrazione di aver adottato misure idonee, davanti ad un controllo, o peggio ancora, davanti ad una violazione, crolla miseramente. Basta infatti che rubino anche il disco insieme al server, che l’incendio distrugga anche la copia di backup, che un criptolocker di ultima generazione arrivi tramite navigazione con il browser e non come allegato, e i sistemi di sicurezza si riveleranno inefficaci. Un’azienda deve dotarsi di dispositivi che certifichino la loro operatività e documentino le criticità, utilizzando anche le notifiche per permettere l’eventuale attivazione dell’operatore di controllo. La nostra struttura è partner BitDefender per la gestione del sistema Cloud di protezione, dotato di console di controllo per gli incidenti, sistema di criptazione del disco e gestione degli aggiornamenti, è classificato tra gli antivirus più efficaci al mondo (dati AV Test e AV Comparatives). Per i backup consigliamo Acronis che permette di effettuare backup pianificati su strutture criptate, tramite agent non disattivabili e non intercettabili. Per le soluzioni più impegnative offriamo vault cloud criptati nel datacenter Aruba Business
Sicurezza fisica
Le prestazioni di sicurezza non si scontrano solamente con malintenzionati che accedono ai nostri dati da web, ma anche con piÚ banali incidenti: incendi, blackout o sovratensioni, furti. In questi casi cellulari, server e PC vengono sottratti o danneggiati da eventi che accadono nella sede fisica dell'organizzazione. In questi casi il valore del PC è il minore dei mali perchÊ, avendo un buon backup, possiamo ripristinare il funzionamento del sistema, ma i dati sono caduti in mani sbagliate; oppure sono andate distrutte anche le copie che venivano conservate in azienda in cassaforte. Vi ricordiamo di effettuare regolarmente anche la verifica degli impianti di sicurezza (antincendio, impianto elettrico, antifurto), ma se avete bisogno di aumentare la sicurezza, o risolvere problematiche delicate, possiamo identificare e implementare strutture di protezione con armadi ignifughi, videosorveglianza, localizzatori GPS sui dispositivi per il rintracciamento dei materiali sottratti, ecc. Inoltre si possono effettuare progetti per implementare i controlli di accesso alle sale server o ai locali aziendali attraverso lettori e sistemi di riconoscimento dell’utente.
Servizio DPO “condiviso”
Per le piccole realtà che trattano dati sensibili la funzione del DPO, pur essendo necessaria, diventa onerosa. Noi abbiamo pensato di realizzare un servizio di DPO condiviso, dividendo il costo tra più strutture, senza rinunciare alla reperibilità 365/24. L'incarico a soggetti esterni, anche in forma di persona giuridica, è previsto dal GDPR, e citato anche nelle linee guida del WP29 (artt. 2.4, 2.6), può operare in forma di "team DPO" purché abbia le stesse prerogative e tutele, operi in base ad un contratto di servizi, senza limitare le proprie funzioni per carenza di tempo e senza avere conflitto di interessi, identificando un referente persona fisica per il cliente. Il DPO dovrà godere di autonomia e rispondere al Titolare. I nostri consulenti hanno competenza tecnica, normativa e legislativa, operano nel settore della protezione da più di 10 anni, conoscono i diversi settori aziendali a cui si rivolgono e svolgono operazioni di ottimizzazione aziendale, consulenza e formazione già nel proprio core business. Non ancora soddisfatti del livello offerto, abbiamo scelto che il personale che ricoprirà un ruolo così importante abbia conseguito un attestato, seguendo 80 ore di corso e superando l'esame, per svolgere il ruolo di Privacy Consultant e DPO. Si permette così a tutti una scelta a costi accessibili, per la nomina del DPO.
Chiamateci per avere il vostro preventivo
Formazione
Parte fondamentale di tutto il processo, vista la continua evoluzione del Sistema Informatico, e le continue richieste di digitalizzazione delle imprese che arrivano in primis dallo Stato, è la continua formazione e l'aggiornamento delle persone che sono coinvolte nel processo di Trattamento. Ovviamente non è un lavoro facile, ma deve essere fatto costantemente per evitare di creare dei GAP di struttura che possono diventare incolmabili. Dobbiamo investire in quello che è lo strumento principale per l'azienda: la persona se agiremo correttamente su questo elemento avremo a disposizione il miglior Sistema, il più aggiornato e capace di reagire, perché nonostante la velocità delle macchine, dietro ogni soluzione c'è l'idea di una persona.
Per questo motivo prevediamo sessioni di formazione e controllo periodiche per verificare lo stato dell’arte e la possibilità di introdurre nuovi strumenti all’interno dell’organizzazione. Il servizio può essere erogato su abbonamento oppure su richiesta.
Chiamateci per avere il vostro preventivo
Per concludere L’intenzione di questo manuale è quella di aumentare la consapevolezza riguardo le problematiche da affrontare in termini di privacy, non di sminuire quanto realizzato dalle Aziende fino ad oggi, si vuole rinforzare la convinzione di muoversi nella giusta direzione e che le richieste che vengono fatte servono per mantenere il giusto livello di competitività del mercato, tutelando il cliente. Deve passare il concetto che per essere “adeguati” bisogna aggiornarsi ed aggiornare i sistemi di sicurezza per tenerli sempre al miglior livello di efficienza; Si deve lavorare per rafforzare la coscienza dei tecnici e stimolare le loro Responsabilità, perché sappiano portare la conoscenza a frutto nelle aziende Si deve essere coscienti che essere “Titolari” comporta delle Responsabilità di controllo e non solamente di delega.
Autore: Stefano Pedroni – Senior Security Specialist / Privacy Consultant / DPO Contatti: Stefano Pedroni – stefano.pedroni@up2srl.it
info@consulente-gdpr.it
RINGRAZIAMENTI I ringraziamenti vanno ai Clienti, che ci permettono di rendere efficaci e reali le soluzioni che sviluppiamo e progettiamo ogni giorno per risolvere i problemi, oltre a rendere più sicuro il sistema che dobbiamo prendere in carico. Questo "Vademecum" è un manuale operativo, non commerciale e pertanto non contiene solamente "graziose immagini", ma soprattutto "utili informazioni". Auspichiamo che possa esservi utile e che la competenza e dedizione che mettiamo nel nostro lavoro venga percepita come un valore, non come semplici parole. Un ringraziamento particolare all'Osservatorio degli Attacchi Digitali (OAD) per i dati rilasciati. Un importantissimo ringraziamento anche a freepik che ha concesso l'uso gratuito delle immagini utilizzate.