Adeguamenti Tecnici e Normativi Privacy Europea 2016 (GDPR) General Data Protection

Privacy_02

Podcast mp3 JusLaw WebRadio – Nuovo Regolamento Privacy Europea

Podcast.mp3 JusLawWebRadio – Micozzi Misure Minime

Garante Privacy – Vademecum Privacy ed Imprese PDF

Tra le “fondamentali priorità”, ma non solo, delle moderne attività Pubbliche od  Aziendali non può mancare un occhio di riguardo alla Privacy.

La privacy è un diritto: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano.” (D.Lgs. 196/2003 – Codice in materia di protezione dei dati personali).

Oggi ci troviamo proiettati verso un concetto di Aziende e Professionisti 3.0 che utilizzano strumenti tecnologici integrati per raggiungere obiettivi e persone senza la necessità di spostarsi fisicamente dallo Studio.

Fino al 2012 esisteva l’obbligo per chiunque trattasse dati di terzi di redigere annualmente, tramite consulenti specializzati, il Documento Programmatico sulla Sicurezza (DPS) a tutela dei dati aziendali.

Abolita la necessità del DPS, tale semplificazione ha impattato unicamente sull’obbligo di tenuta di un documento che riepiloghi annualmente l’adozione delle misure minime di sicurezza, ma non sul rispetto delle stesse misure, tutt’oggi previsto dall’art.34, co.1 del D.Lgs. n.196/03. Imprese, Professionisti, Enti Privati e Pubblici e, in generale, chi tratta dati personali (anche solo di tipo comune, non necessariamente dati sensibili o giudiziari) devono sempre strutturare le proprie organizzazioni al fine di rispettare le “misure minime di sicurezza”.

La norma obbliga a diversi adempimenti, tra cui: • la nomina del titolare del trattamento dei dati, che generalmente coincide con la Società, nella persona del suo Legale rappresentante; • la nomina dei responsabili del trattamento dei dati; • la nomina degli incaricati al trattamento dei dati; • la nomina dell’amministratore di sistema; • il rilascio di apposita informativa; • la preventiva richiesta del consenso al trattamento dei dati; • la notificazione al Garante della Privacy, quando ne ricorra l’obbligo; • l’adozione di “idonee misure di sicurezza”, per garantire che i dati personali vengano custoditi e controllati in modo da ridurre ad un ragionevole margine il rischio di: 1. sottrazione, alterazione, perdita degli stessi; 2. accesso non autorizzato da parte di terzi; 3. trattamento di dati non consentito e non conforme a quanto normativamente previsto. Le “misure minime” di sicurezza dettate dall’allegato B) del Codice Privacy rappresentano le misure di base che è necessario adottare per garantire sicurezza e liceità del trattamento e non incorrere in responsabilità penale e amministrativa (ai sensi dell’art. 169 del Codice Privacy).

Veniamo ai giorni nostri del 2016:

Sanzioni incassate per 3,5 milioni di euro e oltre 1.700 violazioni contestate. I numeri del 2015 della relazione annuale dell’attività del Garante della Privacy, confrontati con quelli relativi al 2014 segnano una flessione dell’importo delle sanzioni (erano di circa 5 milioni) ma nel contempo un forte aumento delle violazione, anche penali, imputate a soggetti pubblici e privati (erano 577).

In altre parole il controllo diventa capillare, gli illeciti scoperti sono più che triplicati

Quanto ai settori attualmente monitorati dal Garante e da altri Organi preposti in relazione ai tipi di violazioni, l’andamento dei dati statistici appare costante: uso dei dati senza consenso; l’omessa comunicazione, agli interessati e al Garante, di violazioni subite dalle banche dati di gestori di telefonia e comunicazione elettronica (ISP-mail)(data breach); l’omessa o inadeguata informativa agli utenti; la conservazione eccessiva dei dati di traffico telefonico e telematico; la mancata adozione di misure di sicurezza (anche minime); l’omessa esibizione di documenti al Garante (lettere formali agli incaricati del trattamento); l’inosservanza dei provvedimenti del Garante.

Perchè una Azienda od un Professionista dovrebbe investire in Privacy e Sicurezza se sono apparentemente solo un costo?

Rischio Privacy e ROI (Return On Investment) sono elementi complementari, ed entrambe facce di una stessa medaglia.

La percezione di questo tipo di rischio Privacy è così viziata dall’esperienza delle minacce del mondo fisico, che risulta troppo spesso “considerato inferiore” o “sottovalutato”, quasi sempre affidato ai “sentito dire da parte di improvvisati smanettoni informatici interni alle Aziende“, per cui la maggior parte delle PMI non ha la minima idea di quale budget destinare alla Privacy od alla Cyber Security. Può quindi venire in aiuto ragionare in termini di ROI

Il ROI (Return on Investment), tradotto in italiano come Indice di Redditività del Capitale Investito o Ritorno sugli Investimenti, è un indicatore di bilancio che serve per capire quanto il capitale investito, in questo caso in Cyber Security, ritorna in termini di reddito.

Essenzialmente il calcolo del ROI è un’analisi costo-beneficio che confronta i costi e i ritorni in termini di finanziamento. Il ROI, usato nel contesto della sicurezza anche ICT Informatica della Privacy è un termine impreciso.

La sicurezza non è un investimento che produce un ritorno economico.

Si tratta di una spesa che ci si aspetta si ripaghi, sicuramente, con un risparmio sui costi anche in termini di fermo della produzione aziendale od esposizione a denunce penali e/o risarcimenti costosi il più delle volte.

Il ROI fornisce una misura non in termini di profitto, ma di perdite evitate; seppur nel bilancio di esercizio ridurre i costi è uguale ad aumentare i ricavi. Pensate ad un’Azienda che investe nella propria sicurezza informatica e nella formazione dei dipendenti (peraltro obbligatoria), difficilmente cadrà in truffe informatiche o virus e malware tramite la rete, in modo così di evitare, come invece nella realtà accade a molte aziende o professionisti, di trovarsi anche con di migliaia di euro di danni imputabili solo alla propria mancanza di previsione, od anche essere costretti a chiudere reparti di ricerca o produzione, fermare il personale o addirittura rischiare di fallire.

Cosa fare allora per ridurre i rischi aziendali sia dal punto di vista tecnico che normativo?

Il riferimento è innanzi tutto al recente (24 maggio 2016) Regolamento Ue sulla Protezione dei Dati (n.2016/679), che ha previsto per il 2018 il passaggio di consegne dall’attuale Codice della Privacy (Dlgs. 196/2013) alla disciplina armonizzata europea (GDPR).

Il Regolamento Europeo sulla Data Protection (GDPR) segnerà il discrimine tra le Aziende evolute ed erogatrici di servizi e prodotti aderenti agli obblighi previsti, e quelle che non si faranno trovare pronte alla svolta normativa (maggio 2018). La General Data Protection Regulation non è una normativa che si può improvvisare. Le Aziende come gli Studi Professionali non devono fare l’errore di aspettare l’ultimo giorno.

Rispetto alla direttiva andata ufficialmente in pensione lo scorso 4 Maggio, “Il Regolamento lascia una grande discrezionalità alle Aziende nell’applicazione rispetto ai processi. Quello su cui si focalizza è l’adesione ai principi, la logicità e la coerenza delle misure adottate piuttosto che la loro tassatività”. Di fatto non si parla solo di misure tecniche, ma anche organizzative, la cui prova di adeguatezza dovrà essere dimostrata, e soprattutto dimostrabile in sede di accertamento o contenzioso, dal Titolare del Trattamento. In questa nuova concezione, la Privacy diventa un sistema di gestione a tutti gli effetti, sovrapponibile al già noto Modello di Organizzazione 231 od alla ISO-9001.

Primo passo da intraprendere per una Azienda o Studio Professionale che voglia, ovvero meglio dire sia obbligata, a seguire il percorso di adeguamento alla Nuova Privacy Europea, è innanzitutto aver raggiunto un livello di adeguatezza rispetto alla normativa pregressa (196/2003 Codice Privacy) e, partire da questo livello, per andare a ripensare ai propri processi, alla propria organizzazione e al proprio business nell’ottica del nuovo quadro legislativo europeo”.

Il Regolamento introduce nel nostro ordinamento una nuova figura il “Data Protection Officer” (Responsabile della Protezione dei Dati Personali) che le pubbliche amministrazioni ed Aziende o Studi Professionali che trattano dati su larga scala hanno l’obbligo di nominare e deve sempre essere “coinvolto in tutte le questioni riguardanti la sicurezza e la protezione dei dati personali”.

Responsabile della Protezione dei Dati – Data Protection Officer (DPO) – Wikipedia

Il Data Protection Officer (DPO) deve essere in possesso di specifici requisiti sia di competenza tecnico informatica che giuridico normativa, esperienza nel settore, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione del Regolamento Europeo, della Normativa Privacy e sulle specifiche Regole di Policy interne Aziendali, sull’attribuzione delle responsabilità, sulla informazione, sensibilizzazione e formazione del personale, consulenza e rilascio di pareri anche vincolanti.

Non bisogna poi assolutamente sottovalutare che oggi conta la “Reputazione Aziendale” che si vuole trasmettere all’esterno e maggiormente in ambito locale ove spesso si ha la “propria miglior clientela”, soprattutto in questi anni di economie di crisi, ma non per il digitale, dove è fondamentale la cosiddetta ‘web reputation’. Un’Azienda che riesce a certificare ed a far risaltare la propria professionalità anche dimostrando l’attenzione con cui tratta i dati e la sicurezza dei propri interlocutori e clienti, evidenziando così la trasparenza con cui si pone sul mercato, sono prerogative di indubbio beneficio, sotto tutti i punti di vista, sia nel pubblico che nel privato.

Il costo di una Consulenza Privacy, alla quale segue una procedura di Audit Aziendale, è decisamente inferiore alle possibili sanzioni amministrative o penali a cui si va incontro in caso di illecito trattamento dei dati, senza considerare i costi, il tempo e le risorse più ingenti che si dovranno mettere in campo per attuare obbligatoriamente gli adempimenti necessari che, spesso e volentieri, se fatti ex post, risultano particolarmente gravosi.

La nostra Azienda è in grado di offrirVi supporto e consulenza in ogni fase di questo importante e delicato passaggio, dal “passato al futuro” della Vostra attività.

O.L.I.T. Informatica

regolamento-europeo-in-materia-di-protezione-dei-dati-personali-scheda

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci