BedoLabs Blog
Area dedicata ad articoli e approndimenti sul mondo IT

+++ aggiornamento +++

Proroga di tre mesi per la delega la nuovo governo -> Agendadigitale

++++++++++++++++++

Il GDPR (General Data Protection Regulation) è decisamente l’argomento del momento e non solo in ambito IT. A ormai pochi giorni dall’entrata in vigore, tuttavia, il quadro complessivo è ancora piuttosto fumoso, soprattutto riguardo gli adempimenti pratici da mettere in atto per risultare conformi.

Lo scopo dell’articolo è quello di fornire un insieme di informazioni di base sugli aspetti principali, insieme a qualche consiglio di natura pratica e ad una raccolta di materiale selezionato. Utile quest’ultimo ad approfondire le varie aree di interesse sia in ambito nazionale, sia internazionale.

GDPR: partiamo dall’inizio

Il regolamento entrerà in vigore il 25 maggio 2018 con l’obiettivo – tra le altre cose – di unificare i regolamenti nazionali attualmente in essere. Questo significa che, salvo alcuni limitatissimi aspetti, non sarà possibile applicare deroghe su base territoriale e tantomeno in termini di entrata in vigore. Alla base del GDPR c’è la volontà di aumentare e migliorare la protezione dei dati personali e della privacy degli individui, fornendo una serie di diritti agli utenti e imponendo doveri specifici ai titolari dei dati trattati.

A questo punto è bene definire quali sono le principali parti in gioco e il loro ruolo, partendo proprio dall’individuo (o persona fisica) che è al centro di tutto. È bene specificare che l’intera regolamentazione si applica solo ed esclusivamente ai dati relativi a persone fisiche, escludendo di fatto tutto quello che riguarda il trattamento di informazioni di tipo B2B.

  • Controller (o Data Controller - DC): nella documentazione del Garante viene chiamato “Titolare” e si tratta della persona fisica, giuridica, agenzia, ente pubblico o privato che, in autonomia o in collaborazione con terzi, determina le modalità e i fini dell’utilizzo dei dati.

  • Processor (o Data Processor - DP): viene chiamato “Responsabile del trattamento” nella traduzione italiana e indica quel soggetto o quei soggetti, che vengono incaricati da parte del titolare di eseguire determinate elaborazioni sui dati in questione.

  • Consent (o Consenso): si tratta dell’elemento fondante di tutto il trattamento, ovvero l’accettazione (o meno) consapevole e informata da parte della persona fisica, rispetto all’utilizzo che verrà fatto dei dati personali raccolti.

  • Personal Data (o Dati Personali): questo termine definisce qualsiasi informazione relativa a un individuo che possa essere usata per identificare direttamente o indirettamente la persona stessa. Sono un esempio nome, cognome, indirizzo, data di nascita, codice fiscale, preferenze religiose o sessuali, dati finanziari, genetici e medici.

  • Processing (o Trattamento): si indica con questo termine qualsiasi operazione, o insieme di operazioni eseguite sui dati raccolti in modo più o meno automatizzato. Ne sono un esempio la memorizzazione, categorizzazione, filtraggio, consultazione e profilazione.

Di seguito userò le diciture DC, DP e Consent per snellire il testo.

I Diritti dell’individuo

Il regolamento definisce un set di diritti fondamentali a cui la persona fisica può appellarsi:

  • Diritto a essere informato
  • Diritto di accesso ai dati
  • Diritto di rettifica/modifica dei dati già raccolti
  • Diritto di cancellazione (diritto all’oblio)
  • Diritto alla limitazione del trattamento
  • Diritto alla portabilità dei dati
  • Diritto a non essere oggetto di trattamenti automatizzati, compresa la profilazione

Tutti questi elementi hanno lo scopo di mettere l’individuo nella condizione di “controllare” le informazioni che fornisce ad aziende ed enti di ogni tipo (si pensi a situazioni comuni come un contratto telefonico o una tessera fedeltà). Rispetto al precedente DPA (Data Protection Act) alcuni diritti sono stati rivisti o integrati, mentre altri – come quello di portabilità – sono del tutto nuovi.

In pratica, le due principali frecce all’arco della persona fisica sono l’Informativa e il Consenso. Ovvero l’insieme del set di informazioni necessarie per capire le modalità e i fini del trattamento e il consenso pratico a tali attività. Nello specifico, la normativa dice che il consenso deve essere: “in ogni caso libero, specifico, informato, inequivocabile e non è ammesso in consenso tacito o presunto”. Tale consenso è valido a partire dai 16 anni di età (in alcuni casi il limite può essere abbassato a 13) e, con individui di età inferiore, è necessario l’intervento di un genitore o di un facente funzione. La normativa prosegue specificando che l’accettazione deve essere di tipo esplicito, ma non necessariamente fornito sotto forma di “documento per iscritto”, e – questo è un passaggio fondamentale – il titolare deve essere in grado di dimostrare in qualsiasi momento che l’interessato ha espresso il suo consenso per uno specifico trattamento.

A questo punto entra in campo l’Informativa, ovvero il documento che descrive in forma “concisa, trasparente, intelligibile per l’interessato e facilmente accessibile” le modalità, i tempi e i luoghi del trattamento. Occorre inoltre utilizzare un linguaggio “chiaro e semplice, prevedendo anche informative idonee per i minori”. In generale l’informativa deve essere fornita per iscritto, preferibilmente in formato elettronico anche se “sono ammessi altri mezzi”, come il canale verbale. Il termine temporale che può decorrere tra la raccolta dei dati e la comunicazione dell’informativa è, ragionevolmente, di 30 giorni.

I campi obbligatoriamente presenti nell’informativa comprendono i contatti del DPO (Data Protection Officier, se presente), la base giuridica del trattamento, i tempi di conservazione dei dati e nel caso di processi “decisionali automatizzati” vanno specificate le logiche funzionali di tali processi.

I Doveri del titolare

A fronte dei diritti sopra descritti, il titolare del trattamento dovrà mettere in campo una serie di attività e soluzioni atte a garantire la conformità. Anche in questo caso andremo a valutare gli aspetti più pratici di questo insieme, rimandando il dettaglio alla documentazione indicata alla fine dell’articolo.

Il regolamento specifica:

  • La contitolarità del trattamento: esiste quindi l’obbligo di definire in modo univoco la presenza di titolari multipli, con le relative aree di responsabilità.
  • Le caratteristiche dell’atto con cui il titolare dei dati demanda il trattamento al Data Processor.
  • Consente la nomina di sotto-responsabili al trattamento, relativamente ad attività specifiche e definite.
  • Prevede obblighi specifici rispetto ai responsabili del trattamento, tra cui la tenuta di un registro dei trattamenti, adozione di misure tecniche e organizzative adeguate e la designazione di un DPO.
  • Regolamenta inoltre le caratteristiche soggettive e le responsabilità di DP e DC.

Già da questi punti iniziali emergono delle necessità pratiche che titolare e incaricato devono mettere in atto, a partire da una revisione completa dei contratti che regolamentano la collaborazione interna e con soggetti terzi.

La documentazione fornita dall’ICO (l’ente britannico indipendente che sta guidando l’adozione del GDPR), inoltre, pone l’accento su due aspetti concettualmente molto importanti alla base di tutto questo processo: la consapevolezza e la conoscenza. Nel primo caso si fa riferimento a una corretta campagna di comunicazione e formazione per rendere consapevole il personale (dipendenti delle aziende, di enti pubblici, professionisti e addetti o meno ai lavori) della nuova situazione regolamentare. Nel secondo caso si invitano i titolari a una presa di coscienza maggiore rispetto alla quantità, tipologia e modalità di organizzazione dei dati posseduti, presupposto fondamentale per la valutazione del rischio e delle misure da mettere in atto.

Sempre nel contesto delle misure pratiche, alcuni dei diritti degli individui comportano procedure che devono essere valutate e implementate come nel caso dei diritti legati a informazione, cancellazione, modifica e trasferimento: queste operazioni – in particolare nel caso si trattino dati in grandi quantità – devono essere progettate in modo da poter soddisfare le potenziali richieste. Infatti, come cita sempre il documento del Garante:” il titolare deve agevolare l’esercizio dei diritti da parte dell’interessato e […] l’esercizio ei diritti è, in linea di principio, gratuito per l’interessato”. Inoltre il regolamento prevede che i dati vengano comunicati in un formato che sia facilmente intelligibile e di tipo standardizzato per poter “transitare” tra differenti titolari senza limitazioni. A queste si aggiungono i registri del trattamento, ovvero soluzioni di auditing delle attività svolte sui dati, al fine di documentare e – se necessario ad esempio in caso di data breach – indagare sulle attività di elaborazione dei dati.

Valutazione del Rischio e Accountability

Il regolamento pone particolare attenzione sulla “adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”. Ed è una innovazione non da poco rispetto al passato, in quanto viene affidato ai titolari il compito di decidere in autonomia modalità, garanzie e limiti nel trattamento. Si fa inoltre appello al criterio di Data Protection by Default e by Design, che consiste nel progettare e mettere in atto soluzioni (di tipo tecnologico, organizzativo, logistico etc.) che garantiscano la sicurezza dei dati durante il trattamento in modo nativo, oltre alla compliance col regolamento. Anche in questo caso deve trattarsi di “una serie di attività specifiche e dimostrabili”.

Le misure di sicurezza adottate – siano esse di tipo informatico, logistico etc. – devono garantire “un livello di sicurezza adeguato al rischio del trattamento”, motivo per cui dopo il 25 maggio non potranno sussistere obblighi nella adozione di misure di sicurezza “minime”. Questo perché la valutazione del livello di rischio è rimessa caso per caso al titolare dei dati.

In generale, il documento di valutazione del rischio viene chiamato Data Protection Impact Assessment (DPIA) ed è fondamentale in particolare per tutti gli scenari ad alto rischio, ad esempio in ambienti dove si trattino operazioni di profilazione utente o dove si processino su larga scala dati appartenenti a categorie specifiche e speciali, come ad esempio dati medicali.

Il documento del Garante riporta una considerazione interessante riguardo tutto l’aspetto della messa in sicurezza, ovvero che “l’intervento delle autorità di controllo sarà principalmente di tipo ex-post, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare.”

In tutto questo, spicca la figura del DPO (Data Protection Officer), ovvero la persona – una o più di una in base alla situazione – che si occupa di vigilare sulla corretta applicazione del regolamento in tutti i suoi aspetti. Il DPO è obbligatorio in alcuni casi specifici:

  • Autorità ed enti pubblici
  • Organizzazioni che effettuano monitoraggio continuo e su larga scala di dati personali
  • Organizzazioni che elaborino in modo continuo e su larga scala categorie di dati speciali
  • Organizzazioni, enti e aziende che trattino dati di oltre 250 persone fisiche (il limite inferiore non è definito tuttavia in modo univoco al momento)

Data Breach e Notifiche di Violazione

A partire dall’entrata in vigore del regolamento, tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”. Questa assunzione ha però un limite e dipende dalla valutazione o meno che dal breach derivino rischi per i diritti e le libertà degli interessati. Di conseguenza la notifica non è obbligatoria in quanto risulta subordinata alla valutazione del rischio da parte del titolare. In ogni caso, tuttavia, queste violazioni andranno documentate, anche se non notificate e insieme ai provvedimenti adottati per evitare che si ripetano. Nel caso del Data Processor, invece, ha l’obbligo di comunicare al titolare eventuali falle in ogni caso e senza ritardi.

Il GDPR regolamenta in modo piuttosto esteso anche il trattamento e il trasferimento dei dati verso paesi terzi extra UE, ma rimando alla documentazione relativa.

Misure pratiche per professionisti e PMI

Mentre per tutti gli aspetti riguardanti la formalizzazione di contratti, informative e consensi si rimanda a un parere legale, vorrei dedicare quest’ultima parte ad alcune soluzioni pratiche che sarebbe bene adottare per la messa in sicurezza (almeno di base) della propria infrastruttura IT, maturate grazie al confronto con altri professionisti del settore:

  • Backup: nell’ottica di evitare perdita di dati, è fondamentale una corretta politica di backup da implementarsi con software specifici e che prevedano la cifratura dei dati salvati.
  • Auditing: utilizzo di appositi software per il tracciamento delle attività sui file e che siano in grado di avvisare in caso di comportamenti sospetti (cancellazioni di massa, modifica di massa, accesso non autorizzato etc.).
  • Corretta politica delle password: consiste nel proteggere i dispositivi aziendali con apposite password, correttamente conservate dal proprietario e periodicamente resettate.
  • Cifratura del disco: in alcuni casi si può valutare questa soluzione per rendere il PC inaccessibile a non autorizzati.
  • Messa in sicurezza delle reti aziendali: tramite l’installazione di firewall (correttamente configurati) a monte della rete, alla rimozione di dispositivi obsoleti o configurati in modo non corretto o sicuro.
  • Antivirus e protezione endpoint: si consiglia l’installazione di software antivirus aggiornati e dotati di misure evolute come firewall integrato e protezioni da attacchi ransomware.
  • Revisione dei diritti di accesso: in situazioni di reti aziendali o ambienti di dominio è bene rivedere gerarchia e assegnazione dei permessi, oltre che controllare i livelli di accesso a NAS e share di rete.
  • Documentazione: prendere atto in modo completo della propria situazione interna, identificando procedure, situazioni critiche e aspetti migliorabili o già conformi.

Aspetto elencato per ultimo ma, forse, più importante di tutti gli altri è la formazione. Come espresso nel documento ICO, è fondamentale che gli operatori siano consapevoli di quello che sta cambiando e di quali sono i propri diritti, doveri e pratiche di comportamento.

L'argomento è stato ulteriorimente approfondito, dal punto di vista legale, nell'interessante articolo dell'Avv. Morlacchi su GURUadivsor -> LINK