GDPR: l’italia non è un paese per la data protection

Siamo l’esercito dei selfie, recita una piacevole canzone del 2017, ed assieme all’Occidentali’s Karma dell’ultimo Festival di Sanremo descrive un paese in cui la leggerezza dell’essere è in netta contrapposizione con le esigenze di rigorosità e responsabilità richieste dalla disciplina della protezione dei dati come da decine di altre norme cogenti. Leggi tutto

GDPR. Si lavora in team, diffidare dei tuttologi

Con l’avvicinarsi della scadenza del 25 maggio 2018 proliferano in Rete le comunicazioni commerciali ed autocelebrative di aziende e consulenti, di chiara derivazione informatica, che pretendono di gestire integralmente l’adeguamento al GDPR (come già accaduto con il D.Lgs. 196/2003), ritenendo di poter leggere ed applicare un testo normativo senza farsi carico di anni di studio ed esperienza giuridica. Un approccio purtroppo inadeguato, che espone al rischio di pesanti sanzioni. Il GDPR, infatti, richiede un approccio multidisciplinare, che necessariamente deve coinvolgere giuristi, informatici, esperti di processi di gestione, analisi dei rischi, certificazione, comunicazione, organizzazione aziendale. Leggi tutto

Focus sul nuovo regolamento europeo 679/2016

Cosa prevede la nuova disciplina dei dati personali

Le aziende utilizzano ogni giorno notevoli quantità di dati per le finalità connesse all’attività esercitata e spesso non sanno che il trattamento è equiparato a gestioni a rischio elevato, come il trasporto di benzina, ed assoggettato alla disciplina dell’art. 2050 del Codice Civile: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. In sede di giudizio, quindi, è il Titolare del trattamento a dover dimostrare di aver adottato ogni precauzione  affinché il danno non si verificasse.

Ecco perché una corretta analisi del trattamento operato nell’ambito dell’attività aziendale, dei flussi documentali, dei sistemi informativi, degli archivi e delle mansioni assegnate a ciascun operatore, con la relativa analisi dei rischi e delle contromisure, consente di valutare lo stato di salute dell’impresa e porre in essere eventuali azioni correttive o di miglioramento, necessarie a rispettare la normativa ed ottimizzare le risorse.

Il sistema di gestione del trattamento dei dati.

Occorre adottare una procedura analoga ai sistemi di gestione della qualità e della sicurezza sul lavoro. Il nuovo regolamento europeo, non a caso, fa espresso riferimento a sistemi di certificazione del trattamento e ai codici etici. Per questo, in attesa delle linee guida del gruppo dei Garanti Europei, l’attenzione degli operatori dev’essere rivolta ai sistemi di gestione delle informazioni secondo la norma ISO 27001, dal quale prende spunto la nuova ipotesi di standardizzazione dedicata ai dati personali

Cosa rischiano le aziende che non si adeguano

Il Regolamento Europeo 679/2016 è già vigore dal 25 maggio 2016 e le aziende pubbliche e private hanno ormai solo un anno di tempo per adeguarsi: dal 25 maggio 2018, infatti, sarà applicato in tutti gli Stati dell’Unione e, per eventuali violazioni, secondo l’art. 83, scatteranno sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo globale dell’anno precedente.

Chi è il Data Protection Officer (DPO)

 il Responsabile della Protezione dei Dati, un esperto che deve avere competenze giuridiche, informatiche e di analisi dei processi e dei rischi connessi al trattamento che, attraverso una serie di verifiche (audit) mirate e specifiche, indica il modo corretto di gestire i dati personali nel rispetto delle normative vigenti.

Quali aziende devono nominare il DPO

Tutte le aziende private che trattano dati personali su larga scala operando il monitoraggio regolare e sistematico degli interessati o che utilizzando dati che sono in grado di rivelare l’origine razziale o etnica, lo stato di salute, la localizzazione geografica, l’orientamento sessuale, le opinioni politiche o l’appartenenza a sindacati, le convinzioni religiose o filosofiche, oppure dati genetici e biometrici intesi a identificare in modo univoco una persona fisica.

Cosa cambia rispetto alla disciplina attuale

Il Regolamento Europeo disegna una logica di processo che sostituisce la precedente gestione documentale. Il trattamento dei dati deve essere considerato un processo aziendale in continua evoluzione, incentrato sulla valutazione della situazione esistente, sui possibili modelli di sviluppo e sulla formazione del personale.

Perchè la ISO 27001

Il sistema di gestione delle informazioni secondo la disciplina ISO 27001 è uno standard internazionale per la gestione della sicurezza informatica, applicabile a qualsiasi organizzazione, che definisce i requisiti per una corretta gestione della sicurezza delle informazioni in ambito aziendale.

Si tratta di un metodo che permette di garantire una sicurezza adeguata ai documenti in formato elettronico e alle banche dati aziendali, attraverso la gestione corretta delle reti e degli strumenti di comunicazione, assicurando anche la formazione del personale su rischi specifici come il phishing, i virus informatici, le frodi e il danneggiamento di programmi ed archivi.

La ISO 27001 è finalizzata a garantire una maggiore riservatezza delle informazioni, attraverso profili di autorizzazione che consentono di disciplinare gli accessi ai dati in base alle mansioni assegnate a singolo dipendente o a gruppi di dipendenti. Integrità e disponibilità delle informazioni sono gli ulteriori obiettivi perseguiti dalla norma, che tende a garantire la business continuity e ad evitare ripercussioni sull’attività dell’azienda in caso di incidente informatico.

GDPR 679/2016. Il trattamento dei dati personali in azienda.

Cosa prevede la nuova disciplina dei dati personali

Le aziende utilizzano ogni giorno notevoli quantità di dati per le finalità connesse all’attività esercitata e spesso non sanno che il trattamento è equiparato a gestioni a rischio elevato come il trasporto di benzina ed assoggettato alla disciplina dell’art. 2050 del Codice Civile: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. In sede di giudizio è il Titolare del trattamento a dover dimostrare di aver adottato ogni precauzione  affinché il danno non si verificasse.

Ecco perché una corretta analisi del trattamento operato nell’ambito dell’attività aziendale, dei flussi documentali, dei sistemi informativi, degli archivi e delle mansioni assegnate a ciascun operatore, con la relativa analisi dei rischi e valutazione delle contromisure, consente di valutare lo stato di salute dell’impresa e porre in essere eventuali azioni correttive o di miglioramento, necessarie a rispettare la normativa ed ottimizzare le risorse.

Sistema di gestione del trattamento dei dati. Occorre adottare una procedura analoga ai sistemi di gestione della qualità e della sicurezza sul lavoro. Il nuovo regolamento europeo, non a caso, fa espresso riferimento a sistemi di certificazione del trattamento e ai codici etici.

Cosa rischiano le aziende che non si adeguano

Il Regolamento Europeo 679/2016 è già vigore dal 25 maggio 2016 e le aziende pubbliche e private hanno ormai solo un anno di tempo per adeguarsi: dal 25 maggio 2018, infatti, sarà applicato in tutti gli Stati dell’Unione e, per eventuali violazioni, secondo l’art. 83, scatteranno sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo globale.

I rischi del mancato adeguamento: il nuovo regolamento prevede sanzioni amministrative pecuniarie fino a 20.000.000 di Euro o, per le imprese, fino al 4% del fatturato annuale globale dell’anno precedente.

Chi è il Data Protection Officer (DPO)?

È il Responsabile della Protezione dei Dati, un esperto che deve avere competenze giuridiche, informatiche e di analisi dei processi e dei rischi connessi al trattamento che, attraverso una serie di verifiche (audit) mirate e specifiche, indica il modo corretto di gestire i dati personali nel rispetto delle normative vigenti.

Quali aziende devono nominare il DPO?

Tutte le aziende private che trattano dati personali su larga scala operando il monitoraggio regolare e sistematico degli interessati o che utilizzando dati che sono in grado di rivelare l’origine razziale o etnica, lo stato di salute, l’orientamento sessuale, le opinioni politiche o l’appartenenza a sindacati, le convinzioni religiose o filosofiche, oppure dati genetici e biometrici intesi a identificare in modo univoco una persona fisica.

Cosa cambia rispetto alla disciplina attuale?

Il Regolamento Europeo disegna una logica di processo che sostituisce la precedente gestione documentale. Il trattamento dei dati deve essere considerato un processo aziendale in continua evoluzione, incentrato sulla valutazione della situazione esistente, sui possibili modelli di sviluppo e sulla formazione del personale.

Il Data Protection Officer e il nuovo Regolamento Europeo 679/2016

Data Security – Archiviazione dei dati tra privacy e nuove tecnologie digitali

  • Il divieto di archiviazione massiva e i rapporti con informativa, consenso, contrattualistica
  • La conservazione dei dati in archivi cartacei e su supporti informatici
  • La conservazione sostitutiva come misura di sicurezza
  • L’archiviazione di documenti contenenti dati sensibili e/o giudiziari e misure di sicurezza
  • Tecnologie di codifica, mascheramento e cancellazione sicura dei dati (crittografia, steganografia, tools)
  • Algoritmi e software proprietari e opensource
  • Il cloud computing in house e in outsourcing: protezione dei dati e clausole contrattuali

Focus: Gli impatti in ambito sanitario del nuovo Regolamento Europeo