Indice dei contenuti
Il 25 maggio 2018 si avvicina a passi da gigante e sono ancora moltissime le aziende italiane che non hanno ancora compreso le conseguenze che il General Data Protection Regulation, più noto come GDPR, comporteranno sull'organizzazione delle proprie attività, processi e procedure. Per questo motivo, nella speranza di essere d'aiuto a quanti ancora si stanno interrogando su quali siano le novità portate dalla nuova normativa e/o su come organizzarsi per rendere la propria realtà conforme ad essa, può essere utile - ancora una volta - fornire una sintesi sulle principali novità introdotte dal GDPR e proporre una task-list - e relativo piano d'azione - per affrontare le principali operazioni da svolgere al fine di non farsi trovare impreparati.
Articoli, Manuali e Risorse Online
A chi si fosse perso gli interventi e consigli in ottica di GDPR compliance già pubblicati in questa sede consiglio di recuperare i seguenti articoli:
- GDPR - Webinar, Corsi, Manuali e Risorse Online, una raccolta di articoli, webcast, webinar, software PIA e altre risorse informative e operative disponibili gratuitamente online per non farsi trovare impreparati.
- Manuale sulla Sicurezza dell'elaborazione dei Dati Personali, a cura di ENISA: un utilissimo prontuario operativo scaricabile gratuitamente, corredato da una serie di appendici che mettono in evidenza le evidenti analogie tra i controlli da effettuare in ottica GDPR e quelli previsti dalle normative ISO 27000.
- Privacy e Data Protection sui Dispositivi Mobili, a cura di ENISA: un altro prontuario di grande utilità, anch'esso scaricabile gratuitamente, che approfondisce l'impatto che la nuova normativa ha sui dispositivi mobili, con particolare riguardo ai due principali pattern di utilizzo: BYOD (acronimo per Bring Your Own Device), che identifica i dispositivi di proprietà del dipendente ma autorizzati all'utilizzo aziendale, e COPE (Corporate-Owned, Personal Enabled), che definisce i dispositivi di proprietà dell'azienda affidati al dipendente e per i quali è previsto anche un utilizzo a scopi personali.
- Video del Garante della Privacy italiano, che mette in luce i principali vantaggi che l'adozione del GDPR comporterà in ottica di rispetto dei diritti e delle libertà di tutti i cittadini dell'area EU.
- La rubrica "Privacy e Compliance" di questo blog, contenente tutti gli articoli pubblicati e in corso di pubblicazione a tema GDPR con approfondimenti e focus su alcuni casi di specie (raccolta dati, profilazione, informative, consensi, centrali di rischi, indagini difensive et al.)
Una volta recuperate queste imprescindibili risorse, non resta che addentrarsi nel dettaglio nella normativa.
GDPR: Panoramica Generale
Il 25 maggio 2018 diventeranno applicabili le disposizioni del Regolamento Generale sulla Protezione dei Dati (in inglese GDPR, General Data Protection Regulation), noto anche come Regolamento UE 2016/679. Si tratta di un Regolamento con il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini UE. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
Il testo obbliga tutti i Titolari del trattamento dei dati che trattano dati di residenti UE ad osservare ed adempiere agli obblighi previsti. Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, abrogherà le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili.
Il GDPR è stato adottato il 27 aprile 2016. La sua applicazione effettiva è prevista per il 25 maggio 2018 dopo un periodo di transizione di due anni: a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri, quindi diventerà immediatamente esecutivo.
Aspetti principali
I punti cardine del GDPR sono i seguenti:
- Responsabilità, intesa come Accountability, di colui che tratta i dati personali: quest’ultimo ha l’obbligo di osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni e di essere in grado di dimostrarlo.
- Obblighi, che si articolano lungo le seguenti direttrici:
- Requisiti più rigidi per le informative da somministrare agli interessati, che devono includere il tempo di mantenimento dei dati personali e fornire i contatti di chi controlla i dati, nonché del funzionario preposto alla protezione dei dati.
- Rispetto del diritto di contestazione delle decisioni automatizzate, compresa la profilazione (art. 22). I cittadini UE hanno il diritto di contestare decisioni che hanno impatto su di loro e che sono state realizzate in base ai risultati di un algoritmo, tranne nel caso in cui tale decisione non sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento.
- Obbligo di avere l’autorizzazione dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento a tutela dei diritti, della libertà e dei legittimi interessi dell'interessato.
- Obbligo di recepire il consenso esplicito dell'interessato (art. 4 e art. 7) per la raccolta dei dati e per i propositi per i quali sono usati.
- Obbligo di applicare i principi di Privacy by Design e Privacy by Default (art. 25), che prescrivono rispettivamente: che la protezione dei dati deve far parte del progetto di sviluppo di tutti i processi aziendali; e che impostazioni di privacy sono configurate su un livello alto in modo predefinito.
- Sicurezza dei Dati, garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito.
- Violazione dei dati (Data Breach, art. 33 e art. 34): Il titolare del trattamento dei dati avrà l'obbligo legale di rendere note le fughe di dati all'autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza.
- Diritto alla cancellazione, limitazione e rettifica, che sostituisce il precedente diritto all'oblio (art. 17). Il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una qualsiasi di una serie di giurisdizioni che comprendono la mancata osservanza dell'articolo 6.1 (legalità), il quale include il caso (f) in cui gli interessi o i diritti fondamentali del soggetto dei dati richiedente la loro protezione prevalgono sui legittimi interessi del controllore. L’interessato deve poter esercitare questo suo diritto con la stessa facilità con cui ha espresso il consenso al trattamento dei suoi dati. Il responsabile del trattamento, dietro richiesta dell’interessato, dovrà comunicare all’interessato i destinatari a cui ha trasmesso la sua richiesta di cancellazione (art. 19).
- Portabilità dei dati: Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo. Inoltre, i dati devono essere forniti dal controllore in un formato strutturato e di uso comune (art. 18).
Obblighi
Gli obblighi normativi imposti dal GDPR hanno un impatto considerevole sulla maggior parte delle aziende e società che operano all'interno dell'Unione Europea (e non solo, come spiega efficacemente questo webcast). Tra i principali aspetti che è opportuno tenere presente mi preme sottolineare i seguenti, troppo spesso sottovalutati dalle aziende con cui mi trovo ad operare:
- Flussi e tracciati anagrafici provenienti da Clienti di qualsivoglia tipo (imprese, PA, aziende partner, etc.);
- Flussi e tracciati di pagamento, per le aziende che si occupano di transazioni online e/o operano come sostituto d'imposta per qualsivoglia realtà contabile e/o fiscale;
- Allegati, scansioni e/o altre informazioni provenienti dai propri utenti che contengano (o rischiano di contenere) dati personali: documenti di identità, indirizzi di spedizione, estremi per il pagamento, e così via;
- Allegati e informazioni provenienti dalle proprie reti di spedizione, distribuzione et al (se applicabili);
- Attività dei fornitori sui sistemi aziendali, con particolare riguardo agli ambiti SI e ICT; archiviazione, protezione ed encryption dei dati e documenti personali, medici e giudiziari in formato elettronico e all’interno dei Database relativi ai vari servizi; protocolli di comunicazione ICT (HTTP/HTTPS, FTP/FTPS, VPN, Networking et al.); archiviazione delle e-mail e PEC aziendali relative a clienti, fornitori, utenti e dipendenti; e così via.
- Flussi e tracciati anagrafici e di dati da e verso i Clienti, con particolare riguardo alle attività che comportano obblighi particolari rispetto all'Agenzia delle Entrate e/o all'Anagrafe Tributaria: mi riferisco in particolare a quanto è previsto dalle recenti normative per il 730 precompilato e quindi ai tracciati che sono tenuti a inviare annualmente assicuratori e riassicuratori, così come fondi, casse, broker e altre realtà che operano in ambito assicurativo, ma il discorso si estende anche a tutti ordini professionali, alle strutture ospedaliere, alle aziende sanitarie locali (ASL) e così via;
- Profilazioni e strumenti di analisi di qualsivoglia tipo installati e/o implementati all'interno del proprio sito web aziendale e/o dei propri applicativi che prevedano un accesso online, con particolare riguardo alle cosiddette "aree riservate" (accessibili tramite credenziali);
- Tutti gli aspetti sopra descritti per il quali l'azienda svolge o prevede di svolgere il ruolo di Data Processor, secondo le modalità descritte nel paragrafo precedente.
Ruoli chiave
Ora che abbiamo identificato i principali ambiti di intervento, non resta che stabilire una linea di azione adeguata. Allo scopo di affrontare nel modo migliore i numerosi cambiamenti che si rendono necessari, è opportuno disporre la costituzione di una Task-Force dedicata per l’adeguamento GDPR coordinata da un team composto dalle seguenti figure professionali:
- Funzionari che svolgono mansioni affini alle attività da mettere in campo, ai quali è stato affidato il compito di pianificare le attività di adeguamento (Responsabile ICT), previo inserimento in un programma di formazione specifico (sicurezza ICT, privacy officer).
- Dipendenti con competenze specifiche di ingegneria gestionale, analisi dei processi e controllo di gestione, previo inserimento in un programma di formazione specifico (privacy officer).
- Eventuali esperti di terze parti che siano in grado di fornire una consulenza specifica in ambito GDPR e Privacy, qualora l'azienda sia sprovvista di tali professionalità.
Action Plan
I compiti del Team di Progetto saranno i seguenti:
- Raccogliere tutte le informazioni necessarie sugli impatti della Normativa sulle attività aziendali mediante appositi strumenti di pianificazione strategica (analisi SWOT, gap analysis, CSF).
- Predisporre un piano d’azione adeguato.
Per quanto riguarda il piano d'azione, io personalmente consiglio una pianificazione basata su quattro direttrici principali, corrispondenti ai singoli passaggi iterativi del framework PDCA (Plan - Do - Check - Act):
- PLAN
- Pianificazione delle attività da svolgere in ambito BU, SI e ICT e analisi degli input.
- DO
- Comunicazione e Formazione a colleghi e dipendenti sui principali elementi oggetto dell’analisi svolta;
- Realizzazione della documentazione a corredo: Manuale Privacy, Registro dei Trattamenti, Risk Assessment Privacy, Privacy Impact Assessment sulle varie tipologie di trattamento, eventuali nuove informative, modifiche contrattuali et al.;
- Implementazione dei nuovi requirements nei processi aziendali, con particolare riguardo a quelli che impattano le attività di Business Unit, Sistemi Informativi e ICT.
- CHECK
- Analisi di tutti i processi aziendali per assicurarsi che i principi di Privacy by Design e Privacy by Default, nonché gli obblighi previsti in termini di diritti, sicurezza, violazione, cancellazione e portabilità dei dati siano opportunamente documentati.
- ACT
- Revisione di tutte le procedure, processi, software, sistemi e strumenti di archiviazione in linea con gli output risultanti dalle attività di analisi svolte.
Queste attività richiedono diverse settimane di lavoro e necessitano di essere portate avanti con la collaborazione e il coinvolgimento attivo delle risorse presenti nelle varie aree chiave dell'azienda, con particolare riguardo all’ufficio legale (se presente), alle aree amministrazione, contabilità, HR, IT, Compliance, Logistica e servizi generali, senza dimenticare le attività specifiche svolte dal Management. Se dovete ancora iniziare, siete già in ritardo... quindi non perdete altro tempo e mettetevi al lavoro!
Per il momento è tutto: mi auguro che questa panoramica possa fornire un prezioso aiuto a quanti, come me, sono chiamati a coordinare questo storico percorso di adeguamento per la propria azienda e/o per quelle dei propri clienti. Buon lavoro e... in bocca al lupo!
Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!