Giusto Approccio al GDPR2016 Privacy in un Contesto Proattivo

compliance

Dal 24 maggio 2016, in Gazzetta Ufficiale Europea è pubblicato il nuovo Regolamento Europeo sul Data Protection (GDPR 679/2016).

Sono passati diversi decenni dalla Direttiva Europea del 1995 seguita dal Dlg.s 196/2003 Codice della Privacy. In ognuno di questi passi si è cercato di normare seguendo le esigenze della legge e della evoluzione tecnologica.

Non esiste infatti un aspetto più critico di altri perchè non esiste un criterio unico per la miriade di attività produttive e di servizi che dovranno adeguarsi. Sia che abbiamo già un ottimo Sistema Privacy sia che comincino dalle fondamenta riscrivendone uno ispirato alla privacy By Default e By Design.

Ogni azienda ha una proprio situazione ICT informatica, un campo di applicazione e una tipologia di trattamento dati diversa da qualunque altra. E’ la combinazione di molte variabili di impresa che determinerà il Sistema Data Protection Aziendale (SDPA), e la prima considerazione che ne discende è che “non esiste un ciclostile o fotocopiatrice per il Manuale del sistema di Data Protection” (MDP) ed anche prima con il Dlg.196/03 questo era così.

Prima di tutto capire che si tratta di un Regolamento e non di una Direttiva Europea.
Le direttive sono nate con la Comunità Europea quando ancora il Parlamento e il Consiglio avevano compiti settoriali distinti.
La direttiva aveva tipicamente due anni di aspettativa prima di essere recepita dai paesi membri. Con ciò si intende che poi le singole legislazioni nazionali, intraprendevano un percorso autonomo di leggi, ognuna con i propri iter parlamentari e tempi attuativi.

Il Regolamento è valido in tutti gli stati membri subito, nello stesso modo e allo stesso tempo. Semplicemente, sono previsti due anni dalla ratifica perchè diventino cogenti le sue prescrizioni; in sintesi, a fronte di controlli delle autorità e/o controversie legate agli adempimenti non conformi, si è esposti al sistema sanzionatorio.

ICT e GDPR UNA UNICA COSA
Essenzialmente il GDPR fonde il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC). Questa messa a fattor comune di due ambiti intimamente correlati e mutuamente dipendenti è in realtà una cosa antica e ha vissuto negli ultimi due anni nella miriade di provvedimenti da parte della Autorità Garante, da Rodotà, Pizzetti e attualmente Soro, che ha sempre cercato di contenere l’enorme disattenzione e sprovvedutezza tipicamente italiane delle Aziende e/o Professionisti tenute alla conformità, e dei potenziali “interessati” che dovrebbero beneficiare della protezione dei dati personali.

Il termine Privacy non è più elettivo e si è diluito nella più grande accezione del termine Data Protection. In effetti la protezione è un concetto che implica Sicurezza (fisica, logica e di gestione), Confidenzialità, Continuità, Diritto all’Accesso, anti-contraffazione, Identificazione Digitale Univoca (SPID), Disponibilità, tutela dal furto di identità,

Ognuno di questi elementi è una disciplina per il quale sono scritti e saranno scritti volumi interi quindi il GDPR ha comportato uno sforzo enorme di armonizzazione e unificazione normativa, prescrittiva e multidisciplinare.
LA COMPLIANCE A PILASTRO DEL GDPR

Un secondo pilastro è la Compliance che è collegabile a due standard internazionali, ISO 19600 e le ultime recenti ISO 9001 che comportano il coinvolgimento sia degli organi aziendali che di tutti gli attori coinvolti e l’analisi dei rischi (requisito innovativo del nuovo Regolamento formalizzato come modello di “Risk Assessment e Management” assimilabile alla famiglia delle ISO 3100x).

I cambiamenti sono molto evidenti, l’indirizzo è quello di una responsabilità che coinvolge sempre di più l’Organizzazione come soggetto (approccio della responsabilità “amministrativa”)dell’impresa presente stabilmente dal 2001 con il Dlg.231/01 Responsabilità Aziendale. L’ OdV (Organismo di Vigilanza) implicito nelle prescrizioni legali, recependo una logica della applicazione delle buone pratiche e quelle di riferimento ISO27001 e la BS 10012, dovrebbe altrettando implicitamente annoverare al suo interno la figura del DPO introdotta dal GDPR2016 679/2016.
PRIVACY DAY BY DAY
La Privacy è diventata molto meno formale e più sostanziale.

Sono finiti per sempre i tempi della Privacy comprata ONLINE, magari a distanza, e da chi non ha mai messo neanche piede nell’Azienda o Studio Professionale.

Ispirata alle normazioni contrattuali volontarie, ISO e BSI per citare quelle internazionali storiche, il GDPR deve essere atteso, attuato e dimostrabile con fatti e non solamente qualche foglio di carta.

Quando il GAT, od anche Nucleo Speciale Privacy, nonché tutti gli altri Organi predisposti all’accertamento diretto od indiretto, effettuassero una ispezione, ovvero anche in sede di controversia od accertamento penale da altra inchiesta (denuncia di terzi alla Autorità Garante od alla Autorità Giudiziaria), non sarà più sufficiente mostrare una “generica informativa”, qualche foglio firmato dai dipendenti senza data certa e un presunto manuale di qualche pagina non aggiornato e difforme dalla realtà aziendale.
Si dovrà avere una “chiara ed adeguata distribuzione delle nomine e delle designazioni dei ruoli del SDPA”, un credibile e pertinente documento di valutazione dei Rischi e degli impatti (cosidetto Privacy Impact Analisys, PIA), Piano di Informazione e Formazione attuato ed aggiornato da consulenti qualificati, certificabile tramite il rilascio di documentazione ad hoc, una politica di qualificazione delle forniture e del supporto ICT a mezzo di SLA e PLA, un piano di Audit effettivo e comprovabile da terzi, se adottato anche l’inquadramento con contratto di servizio di un Data Protection Officer (DPO), il Disciplinare interno con eventuali certificazioni del Data Center on Premise (ISO20000 per i servizi e ISO27001 per la Sicurezza della Infrastruttura dei Sistemi Informativi).

NOTIFICAZIONE DATA BREACH
E’ previsto che una Azienda o Professionista si doti di un impianto strutturale (sia formale, che procedurale) per far fronte alla tempestiva Notificazione del cosidetto Data Breach.

In sintesi, le Società devono dotarsi di un sistema di “gestione delle evenienze avverse di danni informatici“( rottura hardware, virus, rindondanza connettività) . Non tanto e solamente per prevenirli, quanto nella fase “post escalation” di valutazione di un indicente informatico, del quale devono entro breve tempo avvisare l’Autorità di riferimento e tutti gli interessati i cui dati sono stati anche solo presumibilmente coinvolti nell’incidente.

Nel Regolamento Art. 32, si adotta il concetto di adempimenti conseguenti ad una violazione di dati personali che coinvolge in modo diretto anche i fornitori di servizi di comunicazione elettronica accessibili al pubblico ( possiamo annoverare anche le mail) ; tutti hanno l’obbligo della comunicazione all’Autorità Garante di eventuali violazioni di dati personali da essi conservati. Laddove esista poi il pregiudizio ai dati personali o alla riservatezza di un contraente o di altra persona, questi dovranno essere avvisati dell’avvenuta violazione anche se solo per pregiudiziale nocumento.

Il Garante con il “Provvedimento in materia di attuazione della disciplina sulla
comunicazione delle violazioni di dati personali” già indica :
a) un termine di 24 ore per fornire all’Autorità le prime sommarie informazioni con la possibilità di estendere a ulteriori 3 giorni l’integrazione di eventuali notizie utili;
b) l’istituzione di un registro in cui annotare le violazioni;
c) le modalità di compilazione del modulo di notifica formato da ben 17 punti.

Già dal 2015 anche le Pubbliche Amministrazioni che detengono banche dati di grandi dimensioni a cui possono legittimamente accedere plurimi soggetti pubblici, devono comunicare al Garante, nelle 48 ore dalla conoscenza del fatto, le violazioni occorse ai dati personali detenuti e gli incidenti informatici. Tutti gli altri hanno 72 ore.

BEST PRACTICE
Ciò che sicuramente si è semplificato è lo stile di emanazione degli articolati che secondo la tendenza internazionale, mira non tanto alla normazione dettagliata di “cosa” si può e di “come” si deve fare riferendosi a tabelle prescrittive definite; piuttosto, cosi come accade con le linee guida (Guide Lines), le norme di buona operatività (good practisies) e le pratiche dovute (due diligence) indicano le direttive di condotta e i criteri da soddisfare per conformarsi ai requisiti di legge e agli adempimenti sul campo.

La semplificazione della gestione delle nomine e delle deleghe dei soggetti e dei ruoli all’interno di un SDPA. Una semplificazione della articolata gerarchia fatta di Titolari del Trattamento, Responsabili del trattamento (esterni nel caso di fornitori), gestori delle chiavi, amministratori di sistema (interni o esterni), operatori del trattamento verso unicamente due fondamentali soggetti : Data Controllers e Data Processors.
Comunque occorreranno gli Amministratori di Sistema come figure se stanti, ma, nel caso di una “terzializzazione di servizi” ICT (Es. Cloud SaaS, PaaS, Sec-aaS, Storage-aaS ecc.) essi diventano Joint-Controllers (precedenti co-titolari). Peraltro, un corretto inquadramento negoziale dell’istituto del “Joint Controller” rispetto ai trattamenti condivisi, se non vissuto solamente come prescrizione legale per i gruppi di imprese, è una occasione per definire responsabilità specifiche sui dati, e potrebbe rappresentare un vantaggio competitivo strategico per le Aziende strutturate.

La cosa innovativa da non sottovalutare è che in caso di controversia (esposto denuncia di un Interessato presso il Garante), eventuale danno informatico ai dati o di breccia/intrusione ICT (Data Breach) queste figure, siano esse interne alla organizzazione o società esterne (outsourcing) saranno congiuntamente responsabili e perseguibili ai fini della comminazione di sanzioni.

 

 LE AUTORITA’ NAZIONALI
Alle Organizzazioni e Aziende che trattano dati personali, di qualunque classe e dimensione, saranno concessi due anni per adeguarsi, ovvero MAGGIO 2018.

Molta importanza ha il ruolo che le Autorità Nazionali Locali avranno nel periodo di inter-regno di validità delle precedenti versioni nazionali della Privacy fino al decorrere della cogenza vera e propria del nuovo GDPR2016 European Regulation. Nel proprio Paese, le autorità avranno “ampia facoltà di emanazione di provvedimenti e norme di interpretazione e applicazione dell’articolato nel GDPR”. Ad esempio in merito agli obblighi distinti tra Pubblico e Privato nella nomina obbligatoria del DPO sulla base di trattamenti di dati particolarmente sensibili.
IL DPO (DATA PROTECTION OFFICER)
Quella del Data Protection Officer è una questione molto controversa e decisamente non chiara. Diversamente da molti altri adempimenti esplicitamente cogenti e mandatori, questo è stato discusso per anni.

Più che per un problema di accountability, il DPO rappresenta un problema nel caso di trattamenti “particolari” (quelli che prima erano i dati sensibili giudiziari e sanitari) e nelle organizzazioni disseminate e dipartimentalizzate. Non è solo un risparmio economico, piuttosto la necessità di una competenza interdisciplinare e terza che in prima approssimazione ricorda il ruolo dell’ Auditor Interno e/o il Responsabile di un Sistema di Qualità e Sicurezza in ambiente ISO.

Nella prima fase di elaborazione del GDPR, il DPO fu pensato come indispensabile, poi ci si è resi conto del fatto che questa figura consulenziale deve conoscerequasi tutte le normazioni europee, essere un esperto di leggi e di giurisprudenza locale (Es. Dlg231/01), essere certificato in almeno tre ambiti di Sicurezza Informatica (IT-ISO27001/ISO20000, Cyber Security e Risk Analysis NIST-CLUSIT, Cloud Computing – CSA/ENISA, Gestione di Processo – ITIL/CoBIT), essere un esperto certificato di progettazione e analisi dei rischi, deve essere esperto di docenza e formazione, deve essere terzo ed autonomo rispetto alla Proprietà aziendale e con notevole background esperienziale.
Un simile skill tecnico professionale individua qualcosa come anni di studi giuridici ed informatici.
L’adozione di un DPO è definita non mandatoria, ma altamente raccomandabile, ed sicuramente anche consigliabile come figura giuridico tecnica esterna a conflitti di interesse od influenze.

A livello di comunità europea (Parlamento, Consiglio e Commissione o Trilogo), per un certo periodo gli emendamenti controversi hanno riguardato i DPO e le discussioni sembravano orientate a rendere questa figura mandatoria in ragione della dimensione della organizzazione (tipo numero di dipendenti), ma è stato fatto notare di come alcune attività di agenzia (Per es.: Centrali di rischio o studi di investigazione privata ), seppure con pochi dipendenti può effettuare controlli estremamente critici e dannosi sui dati personali. Quindi ha preso piede la metrica basata sulla quantità di records detenuti. Ma anche in questo senso si andava incontro a discriminazioni ed elusioni irragionevoli.

Insomma alla fine il DPO si è reso in parte facoltativo, ma consigliabile nella maggior parte dei casi.

Obbligatorio per altri settori specifici, e su scelta discrezionale del Data Controller (principale nel caso di joint Controllers) tra i consulenti del libero mercato.

Di fatto un DPO potrebbe essere indispensabile per una azienda che abbia un minimo di Data Center intramurale (on premise), in quanto più efficace ed economico rispetto alla consulenza delle molte Big Advisors ( che spesso rigirano a DPO improvvisati Body Rental a contratto) o di un lungo percorso certificativo che comunque non può garantire dalle prescrizioni legali. Si legga, non è che perchè abbiamo una certificazione ISO9001 od ISO27001 significa che scongiuriamo le sanzioni del GDPR.

Il DPO in realtà rappresenta un vantaggio competitivo per la società risolvendo e armonizzando ambiti legislativi, progettuali e di governo della Informatica e integrando gli obblighi delle normazioni di compliance.

MA QUANTO MI COSTA?
Questa è la domanda tipo che tutti i consulenti si sentono fare dai clienti.

La progettazione e della implementazione di un nuovo SDPA (Sistema Privacy)

La esposizione nel caso di sanzione (Sanzioni del Garante)

Tutte le sanzioni precedenti sono più che raddoppiate!!

Sono cioè possibili multe anche milionarie in quanto si è inteso valutare la rilevanza del danno provocato più che la solita considerazione amministrativa (che peraltro non ha funzionato mai come terrorismo minatorio presso le società).

Nel caso delle multinazionali, a discrezione del giudice, per avere un conclamato effetto di deterrenza, si può arrivare fino al 4% dell’ultimo fatturato globale dichiarato a bilancio societario. E’ cioè sensibilizza anche la multi-nazionale alla quale pagare qualche migliaio di Euro non cambia molto.

I controlli saranno orientati alle verifiche sui sistemi ICT :procedure di backup, misure di protezione perimetrale, formazione aggiornata specifica per ogni ruolo e per il personale, controllo qualità delle forniture ICT, compliance della impiantistica anti-intrusione e videosorveglianza non ultima.

L’enorme ed eterogenica tipologia di trattamenti (cartacei, digitali, DataBase distribuiti o pubblici), la classe e qualità della dotazione informatica e delle piattaforme software utilizzate (Sistemi Operativi, LAN,WAN, virtualizzazione, Cloud), le finalità del trattamento (Studi Legali, profilazione, E-Commerce ecc.), il trasferimento e la condivisione fuori dalla UE dei dati (scambio transfrontaliero), l’ambito del processo di business (e-commerce, pubblicitario, assicurazioni, produzione, servizi ICT ecc.) rendono non plausibile pensare ad una messa in sicurezza uniforme e ripetitiva.

Che sia nominato DPO o si comporti come fornitore di una prestazione consulenziale ad hoc ( Consulente Aziendale Tecnico Legale), un professionista deve svolgere attività comparative e multidisciplinari di GRC (Governance, Risk and Compliance Management).

Il costo e la quantità di lavoro consulenziale e di affiancamento all’Azienda, se possibile è decuplicato rispetto ai precedenti Sistemi Privacy, ma questo è dovuto proprio al fatto che non si chiede più di avere una burocratica formalità solo cartacea, ma una effettiva e attuata infrastruttura di procedure e istruzioni operative comprovate e comprovabili di Sicurezza Informatica. Come statuito nell’ambito della Notificazione, per rendere obbligatoria e non eludibile questo ultimo adempimento si è previsto un articolato specifico per il rispetto del provvedimento sul Data Breach. Era in realtà previsto da prima con il Dlg.196/03, ma ora è posto alla stregua della Informativa e del Consenso al trattamento.

CONVIENE CERTIFICARSI?

La portata delle competenze e delle responsabilità che un Data Protection Officer (DPO) deve fornire al Data Controller (omologa figura del precedente Titolare del Trattamento), richiede sicuramente di avere delle certificazioni se possibile, od almeno una corposa esperienza nel settore. Naturalmente si intende che la certificazione non riguardi solo il consulente, ma anche la organizzazione, insomma il cliente.
Anche se la certificazione di per sè non da alcuna “copertura” o certezza di manleva da adempimenti necessari ulteriormente.

Le certificazioni hanno un ambito e non possono essere un salvacondotto di conformità a priori, però se ci sono è meglio.

Il GDPR ha essenzialmente unificato il mondo della Privacy con quello della Sicurezza Informatica. A fronte dei vari aspetti legati ad una Azienda o Studio Professionale, tutti giganteschi dal punto di vista delle legislazioni di settore e delle normazioni ad hoc, in ogni caso abbiamo trattamenti di dati personali. Non solo, oltre alla carta che storicamente non è mai scomparsa e in una nazione fondamentalmente burocratica non scomparirà mai, virtualmente qualunque attività detiene, transa, elabora, conserva, osserva, diffonde, comunica qualche forma di dato digitale personale.

In merito alle certificazioni non c’è alcun obbligo, fintanto che si “possa dimostrare che le misure fisiche, logiche e di processo adeguate sono dimostrabili, attuate e plausibili rispetto al tipo, alla finalità e alla estensione del trattamento dei dati personali.

 

ADEMPIMENTI TECNICI ADEGUATI (ex MINIMI)

Per rispettare gli adempimenti in tal senso, non basta più far vedere la licenza di un anti-virus, piuttosto bisogno avere un TEAM per le emergenze informatiche in grado di configurare una difesa H24 perimetrale, anche del piccolo Data Center di Studio (NAS e SERVER) dietro il modem del flusso ADSL/FIBRA.

Di fatto alcune delle misure “adeguate” da esibire obbligatoriamente in occasione di controllo, sono un sistema di monitoraggio anti intrusivo IPS/IDS FIREWALL, una politica di NAT e PAT a livello di DMZ (soprattutto per chi pubblica dei web con accesso credenzializzato all’area riservata), un sezionamento intelligente della rete LAN (Es. : subnet e VPN), politiche di Virtualizzazione o Cloud legate alla accountability dei Data Processors; dove presenti, proteggere e gestire gli accessi e il controllo di configurabilità per impianti VOIP, video-sorveglianza, stampanti IP, WI-FI (sia Access Point che Hot-Spot), politiche di sensibilizzazione sui BYOD.

Per tutte queste cose si possono risparmiare soldi di certificazione seguendo le procedure standard ITIL e le CoBIT.

Nella sua produzione normativa anche il Garante Italiano ha diffuso delle linee guida:

Guida al Nuovo Regolamento Europeo Privacy GDPR2016 679/2016 .PDF

GDPR RESPONSABILITA’ FORNITORI

Da oggi le cose sono ulteriormente migrate perso una maggiore implicazione e coinvolgimento dei fornitori ICT. Dal venditore di Stampanti IP che con la scusa del cambio manutentivo del toner, può prendersi con una pendrive tutte le stampe di una azienda, al contratto di Storage in Cloud su un Cloud Provider Pubblico. Non basta dare l’upTime medio, bisogna concordare con l’istituto delle BCR, SLA e della Privacy Level Agreement una corresponsabilità.

Non ultimo il nuovo Codice Condotta Cloud Europeo CISPE, ove si garantisce che d’ora in avanti questi provider dovranno aderire e dimostrare “la capacità di processare e stoccare i dati esclusivamente nei territori UE e dell’area Economica Europea“.

In base al nuovo codice di condotta, chi fornisce servizi cloud non potrà utilizzare i dati lì conservati o spostarli fuori UE, anche solo per “improvvisi motivi tecnici” o per altri fini, come studi di mercato a marketing, di data mining e/o profiling meno che mai di di rivendita dei dati a terzi.

Tutti costoro sono da oggi Data Joint-Controllers

In termini pratici non solo devono esistere dimostrabili atti e scritture di accordo specificamente indirizzati a garanzie di trattamento e di detenzione dei dati personali, ma in caso di problemi o controversie legate alla Autorità per la Protezione dei Dati Personali, se comprovato un danno certo, anche i fornitori saranno coinvolti nel risarcimento e/o comminazione delle sanzioni.

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Advertisements