Questo post ha l’obiettivo di introdurre il nuovo Regolamento sul trattamento dei dati personali e di fornire i tre punti salienti che almeno a mio avviso, dovranno essere tenuti in debita considerazione.

La Carta dei diritti fondamentali dell’Unione europea stabilisce che la protezione delle persone fisiche, con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale.

Il nuovo Regolamento dell’Unione europea 2016/679 del 27 Aprile 2016 sostituisce ed amplia la precedente normativa relativa alla protezione dei dati (Direttiva95/46/CE).

Questa che appare la più rilevante modifica nella gestione dei dati personali degli ultimi 30 anni, è entrata in vigore in tutta Europa con la pubblicazione sulla Gazzetta Europea il 4 Maggio 2016.

Trattandosi di un regolamento e non di una direttiva, Imprese e soggetti pubblici dovranno adeguarsi a quanto previsto, nel regolamento, entro il 25 Maggio 2018; data in cui è prevista la piena applicazione del regolamento. A differenza di quanto avviene per altre norme, Il Regolamento introduce raccomandazioni specifiche con suggerimento delle possibili azioni da intraprendere. Per tali Disposizioni del GDPR non è previsto l’intervento del legislatore nazionale e il  mancato rispetto delle norme  può comportare multe fino a 20 milioni di euro o al 4% del fatturato globale. Il Garante della Privacy italiano ha già pubblicato sul proprio sito la Guida applicativa del Regolamento UE2016/679 (GDPR).

Come ho già avuto modo di scrivere in un precedente articolo, (http://www.lorenzoferrante.it/2017/12/02/industria-4-0-la…mazione-digitale/  ), la trasformazione digitale che nello scambio dei dati e per estensione nell’utilizzo dei Big Data ha due dei pilastri fondamentali,  dovrà necessariamente tenere conto “dello spazio di libertà, sicurezza e giustizia” che il nuovo Regolamento tende a realizzare.

I nuovi servizi, basati sull’interscambio di informazioni (dati) e tecnologie (Mobili, Cloud Computing, Internet Of Things), hanno espanso in modo esponenziale il valore strategico del Dato.

Per rendersi conto del problema basti pensare che uno studio del Politecnico di Milano, datato 2016 stima, nel nostro paese, 45 milioni di devices mobili, 8 milioni di oggetti connessi mediante SIM ed una attesa di crescita del mercato Cloud & ICT As a Service pari  al 25%.

Ovviamente le Imprese si stanno interrogando sul loro grado di  compliance rispetto al Regolamento e sul grado di rischio che sono disposte ad accettare relativamente alla perdita di informazioni aziendali e soprattutto, sui costi da sostenere e i tempi entro il quale implementare gli adeguamenti delle proprie infrastrutture informatiche. Con il GDPR il mondo della Privacy (trattamento e protezione dei dati personali) e della Sicurezza Informatica convergono.

Ma alcuni rapporti stimano nel 16 % la crescita, in Europa del mercato dell’IT Security.

L’Osservatorio Information Security& Privacy POLIMI 2017, evidenza le motivazioni che guidano la spesa nelle Imprese italiane.

L’esigenza di adeguamento normativo è la principale motivazione di spesa in Information Security delle aziende ed in particolare, delle PMI. Immediatamente dopo l’adeguamento normativo viene la risposta ad attacchi informatici subiti nel passato dalle Imprese e quindi le nuove esigenze di business. Siamo ancora molto lontani da una motivazione di spesa derivante dai potenziali rischi con effetti strategici. Pensiamo ad un furto di dati che possano mettere un malintenzionato in grado di interagire con il sistema di guida di una metropolitana senza conducente. Quale sarebbe il danno diretto (danno a persone e cose) e quello derivato (danno sull’immagine del Brand e sulla sua Pipe-line)?

Rimandandovi alla lettura del mio post sul tema della CYBER SECURITY, qui ci concentriamo sul nuovo Regolamento comunitario circa la protezione dei dati.

 

Cosa prevede il GDPR?

In termini organizzativi, il GDPR, definisce in modo esteso le responsabilità afferenti al Titolare del trattamento che dovrà implementare misure, tecniche e organizzative, idonee ad assicurare un elevato livello di sicurezza. L’articolo 37, comma 5 del regolamento introduce  la nuova figura aziendale del Data Protection Officer (DPO) che deve possedere i requisiti minimi previsti  dal Regolamento. Oltre a tale figura vengono indicati alcuni ruoli connessi alla protezione dei dati personali:  il Data Controller e il  Data Processor.

Le persone fisiche avranno diritto di richiedere al Titolare del trattamento la cancellazione dei propri dati personali conservati. Il cosiddetto “diritto all’oblio”.

Oltre a tali figure il GDPR prevede l’obbligo della comunicazione, entro 72 ore, della violazione dei dati personali (Data Breach) e le tutele della protezione dei dati verranno integrate nei prodotti e servizi sin dalle fasi iniziali dello sviluppo (Privacy by Design & Privacy by Default).

 

Cosa devono fare le Imprese?

 

In termini di processo la Compliance dell’Impresa deve essere verificata attraverso i seguenti passaggi logici:

  1. Nominare il DPO, laddove previsto, definendo i compiti e le responsabilità.
  2. Mappare con precisione i luoghi, fisici o virtuali, nei quali sono elaborati e poi salvati i dati sensibili.
  3. Analizzare criticamente il processo di gestione di tali dati definendo attività e controllo
  4. Predisporre il Registro dei Trattamenti
  5. Porre le tematiche della compliance quali unità elementari della progettazione dei nuovi Prodotti/Servizi (Data Protection by Design).
  6. Adottare serie politiche di auto valutazione del proprio livello di riservatezza ed integrità dei dati. (Data Protection Impact Assessment).
  7. Adottare procedure specifiche per gestire e minimizzare gli effetti di eventuali violazioni. Risk Analisys e processo di gestione dei Data Breach.
  8. Certificazione di conformità al GDPR.
  9. Verificare l’impatto del GDPR su clienti e fornitori.

Relativamente al primo passo e cioè quanto attiene alla conservazione del dato, gli Osservatori più credibili e le semplici notizie trapelate sui giornali mostrano alcuni, drammatici, dati di sintesi:

Centinaia di migliaia di clienti hackerati, +400% gli attacchi verso GDO-Retail, centinaia di migliaia di computer attaccati da WannaCry, 9 miliardi di euro le perdite, solo in Italia, derivanti da attacchi informatici.

Interessante notare come le fonti di attacco vedano in associazioni criminali, Competitors o semplici lavoratori o ex lavoratori i soggetti che praticano hacktivismo ( unione delle due parole hacking e activism).

L’analisi sulla tipologia delle minacce informatiche oltre ad evidenziare quelle di tipo Malware (Malicius Software), scritte ed inserite in rete con l’obiettivo di  ottenere l’accesso ad un computer con il fine di rubare informazioni sensibili, si sono evidenziati particolari tipi di Malware, chiamati Ransomware, ove l’obiettivo è quello di bloccare, sino al pagamento di un riscatto, ogni accesso ai Data Base.

E’ necessario classificare, ogni potenziale tipologia di minaccia, rispetto ad una asse cartesiano che indichi l’impatto che la minaccia determinerebbe e la probabilità che la minaccia si presenti.

Per quanto riguarda il processo di gestione dei dati trattati è interessante notare come l’analisi dei principali eventi accaduti ha consentito di evidenziare come, frequentemente, vi sia un’errata valutazione del rischio di perdita/integrità dei dati rispetto al consuntivo degli eventi realmente accaduti. Non sempre, i dati ritenuti più critici dalle Imprese sono quelli realmente persi o trafugati. C’è quindi la necessità di allineare, in modo dinamico, il modello di calcolo del rischio (il già menzionato posizionamento su asse cartesiano) rispetto alle evidenze dei tentativi di intrusione che si registrano.

I tre punti salienti:

  1. Anche se in passato e per molte altre normative, in Italia, e’ accaduto; non cullate attese di eventuali deroghe.Come abbiamo detto e’ un Regolamento comunitario che per determinare i suoi effetti sanzionatori, non ha bisogno di ulteriori attività legislative o dispositive. Dal 26 Maggio 2018, l’Autorita Garante, potrà e dovrà sanzionare. La vecchia normativa esponeva, in termini di sanzioni economiche, ad un rischio risibile per cui, di fatto, in Italia non abbiamo, solidi, riferimenti storici sulla “Litigation Privacy”. Il nuovo regolamento consente di promuovere azioni collettive di rivalsa sull’impresa e non sono ancora totalmente chiari le procedure di ricorso. E’ tecnicamente possibile ritrovarsi con sanzioni e richieste collettive economicamente importanti.
  2. L’importo dell’eventuale sanzione dipenderà, oltre che dalla dimensione dell’inosservanza, dal livello di  diligenza con il quale  l’impresa saprà dimostrare di aver operato. Il responsabile del trattamento dovrà dare prova, informatica, dell’allineamento rispetto al regolamento ma anche del momento in cui l’allineamento e’ avvenuto. Difficile, quindi, pensare di poter sistemare le cose in modo accettabile la sera prima di una ispezione. In attesa di essere totalmente allineati, diminuite il livello di rischio preferendo soluzioni o servizi che trasferiscano, sui vostri providers, l’incombenza della messa a norma. Qualche esempio: anziché gestire all’interno dell’impresa, acquistate ,  il servizio di posta elettronica da un soggetto che dovrà, lui, dimostrare, prima a Voi e poi all’Autorita Garante, di essere pienamente allineato al Regolamento. Anziché decidere di stanziare il vostro data-base su macchine, nel vostro data center o come spesso accade, nell’ultimo stanzino dei vostri uffici, aumentate il livello di sicurezza valutando l’affidamento di tali dati ad un provider. Probabilmente  non basterà a risolvere tutti i problemi di compliance ma, certamente, dimostrerà che in maniera diligente, vi siete posti il problema e che avete operato scelte che tendevano a diminuire il rischio.
  3. Come ho cercato di indicare, L’adeguamento dei processi aziendali al Regolamento richiede di affrontare le stesse tematiche, nelle grandi come nelle piccole imprese; non e’ una tematica che si possa affrontare scaricando un software, gratis, da internet o come spesso accade nelle PMI, assegnando, solo formalmente, l’ulteriore responsabilità ad un collaboratore che ha già altre mansioni. La messa a norma, non può e non deve avere impatti negativi sulla capacità, dell’impresa, di generare Business per cui richiede una competenza multidisciplinare in campo informatico, legale e di processo di Business. Se siete grandi e medi  investite su processi , responsabilità e formazione di personale interno; se siete piccoli acquistate una consulenza che abbia le caratteristiche che ho descritto sopra. Il vostro Business non può essere soffocato dalla norma ma deve utilizzare, il pieno allineamento al Regolamento, quale fattore distintivo di Business. Un lavoro da esperti.

Cosa ne pensi?

Se vuoi contribuire, scrivi nei commenti e se pensi che questo post ti sia stato utile, condividilo.

Grazie.