Quanto sono pronte le aziende italiane al GDPR?

28 novembre 2017
Pubblicato in Sicurezza Informatica

Secondo SB Italia, a sette mesi dall'entrata in vigore del regolamento europeo sulla protezione dei dati, le aziende non sono ancora pronte

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento europeo sulla Data Protection chiamato a sostituire la Legge sulla Privacy attualmente in corso in Italia.
Ma nonostante l’imminente conto alla rovescia, e il rischio di sanzioni che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo, sono ancora troppe le aziende che sottovalutano l’importanza del GDPR e la necessità di adottare misure organizzative o tecniche per proteggere i dati personali.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre il WP29 ha adottato tre fondamentali provvedimenti che avranno importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme.

Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.

In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR.

Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  • La designazione in tempi stretti del Responsabile della protezione dei dati;
  • L’istituzione del Registro delle attività di trattamento;
  • La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamentoa un altro.

La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.

Data breach

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante.

Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR.

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione

Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

  • Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;
  • Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica;
  • L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

Le responsabilità penali in azienda

Sono purtroppo ancora molto poche le informazioni sul quadro sanzionatorio penale preesistente e riferibile alla nuova figura del DPO e a quelle ad essa collegate.

Intanto possiamo precisare che le fattispecie criminose ad assumere maggior rilievo sono: il reato di accesso abusivo ad un sistema informatico o telematico (art. 615 ter Codice Penale, il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, nonché i reati previsti dal Codice della Privacy.

La figura del DPO (Data Protecion Officer)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO)incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  1. Riferisce direttamente al vertice,
  2. E’indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  3. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento.

Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.

E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPOrispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati

Privacy e Trasparenza con il GDPR

Tra le molte novità, il GDPR potrà aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse.

In questo contesto, è importante sottolineare come il nuovo regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

L ’approccio di fronte al GDPR deve essere globale: occorre che le aziende abbiano una chiara visione di insieme della normativa, che permette anche di regolamentare e rafforzare le misure minime di sicurezza, potenziando i controlli per la prevenzione di perdite o furto di informazioni, non solo riguardanti i dati personali delle persone fisiche, ma anche in una visuale più allargata inerente a copyright, proprietà intellettuali, progetti

 

Logo

STAI UTILIZZANDO UNA VERSIONE DI INTERNET EXPLORER NON SUPPORTATA

Per navigare sul nuovo sito TWT è necessario aggiornare l’attuale browser con una versione supportata o scaricare l’ultima versione di Chrome, Firefox, Safari, Internet Explorer o Edge.

Per maggiori informazioni o per ricevere assistenza tecnica:
Numero verde: Aziende 800.192.800 – Reseller 800.192.888 Opzione 1 e 2
Email: support-direct@twt.it

YOUR WEB BROWSER IS NO LONGER SUPPORTED

If you’d like to use TWT new website we recommend you to download the latest version of Chrome, Firefox, Safari, Internet Explorer or Edge.

For further Information or Technical Assistance:
Freephone numbers: Companies 800.192.800 – Resellers 800.192.888 Option 1 and 2
E-Mail: support-direct@twt.it

Browser