Il 25 maggio 2018 il nuovo Regolamento Europeo per la protezione dei dati personali GDPR.
Ovvero General Data Protection Regulation, entrerà a regime in tutta l’Unione Europea: cosa significa questo per le organizzazioni pubbliche e private?
Prima di andare oltre vediamo alcune definizioni per meglio comprendere il concetto:
Trattamento:
Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, ‘estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione , la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Dato personale:
Qualunque informazione relativa a persona fisica dentificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di dentificazione personale.
I dati personali possono essere così suddivisi:
Dati identificativi:
I dati personali che permettono l’identificazione diretta dell’interessato.
Dati sensibili:
I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose o filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico, sindacale nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Dati giudiziari:
I dati personali idonei a rivelare provvedimenti giudiziari.
Dato anonimo:
Il dato che in origine o a seguito di trattamento non può essere associato ad un interessato identificato o identificabile. (questa tipologia di dato resta ovviamente esclusa dal GDPR).
Tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile Titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento.
Quali sono le misure necessarie da adottare per essere conformi al regolamento ?
- Pseudonimizzazione, minimazzazione e cifratura dei dati
- Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati.
- Data recovery
Facciamo una piccola parentesi sui termini minimizzazione e pseudonimizzazione .
La minimizzazione garantisce che le organizzazioni trattino di default soltanto i dati personali necessari per ogni specifica finalità del trattamento.
La pseudonimizzazione è diversa dall’anonimizzazione, perché è un processo che è reversibile, purché questo sia possibile attraverso informazioni aggiuntive memorizzate separatamente dai dati pseudonimizzati. Con pseudonimizzazione si intende il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente. Facciamo un esempio pratico di pseudonimizzazione :
- Si attribuisce alla scheda di Mario Rossi un codice identificativo univoco;
- Si crea una tabella separata in cui quel codice è abbinato a tutte le informazioni che possono condurre all’identificazione alla persona, come nome, email, numero di telefono, codice fiscale eccetera;
- Si eliminano dalla scheda dei dati pseudonimizzati i dati identificativi visti nel punto precedente, lasciando solo il codice identificativo come mezzo per ricollegare le due tabelle.
Un capitolo centrale del testo approvato da Bruxelles riguarda i data breach, vale a dire le violazioni nei sistemi delle organizzazioni che portano alla fuoriuscita di informazioni. Dal 25 maggio 2018 le realtà che subiscono attacchi di questo genere avranno l’obbligo di comunicare (entro 72 ore) eventuali perdite al Garante e, in casi rilevanti, anche ai diretti interessati. Secondo importanti pareri in materia, sono inclusi nella casistica anche infezioni da virus Ransomware (cryptolocker, wannacry etc etc).
Quali sono le misure tecniche/sistemistiche per adeguarsi alla nuova normativa ? In realtà non vi sono, dal punto di vista tecnico grandi novità. A mio parere viene soltanto sottolineato e messo per inciso quanto viene normalmente consigliato e spesso trascurato.
- Firewall perimetrale (possibilmente con a bordo un motore UTM)
- Verifica e controllo dell’utilizzo e della connessione internet
- Cryptazione delle connessioni remote utilizzate per teleassistenza, telelavoro o per qualsiasi esigenza venga dato accesso alla rete interna
- Antivirus installato sugli endpoint
- Sistema di backup con scrittura protetta da password
- Protezione e cryptazione delle eventuali periferiche utilizzate per conservare i dati all’esterno dell’ufficio. (un esempio sono le chiavette USB, spesso utilizzate come backup “on the fly”, e soggette a possibili smarrimenti.
e quali sono le domande che dovremmo porci:
- E’ svolta formazione e sensibilizzazione del personale?
- Esiste un disciplinare interno, una lettera di incarico di trattamento dei dati?
- Vengono eseguiti backup dei dati? Chi ne è responsabile?
- Viene garantita la Business Continuity?
- Le credenziali di accesso ai sistemi sono in possesso esclusivo dell’incaricato
- E’ stabilità una dimensione delle credenziali di accesso?
- Vengono disattivati profili inutilizzati o relativi a rapporti cessati?
- Sono presenti antivirus, anti-malware? Vengono regolarmente aggiornati?
- Sono presenti firewall?
- I dati sono contenuti in locali o in spazi non accessibin funzione della tipologia del dato
- Vengono monitorati logon sospetti?
- Quanto valgono i nostri dati ?
- ….
Essendo il carattere di questo BLOG essenzialmente tecnico, preferisco non addentrarmi negli aspetti legali ed amministrativi del regolamento, il quale comporta anche l’obbligo della stesura di documenti e la nomina del/i responsabile/i al trattamento dei dati. Per queste problematiche che, essendo delicate, necessitano di attenzione e completezza, consiglio di rivolgervi a Tecnosistemi srl – Pietra Ligure (Savona), dove personale esperto e qualificato vi potrà guidare ed assistere nei vari adempiment di legge.
Ricordiamo solo che la normativa GDPR coinvolge tutti, in quanto tutti trattano dati personali.
E per finire questo breve articolo, diamo un’occhiata veloce alle sanzioni:
Sono previste sanzioni fino a 10.000.000 € o al 2% del fatturato mondiale, nel caso in cui siano violati:
- Obblighi di adempimenti specifici (privacy by design, data breach, data recovery etc.)
- Obblighi degli organismi di certificazione
- Obblighi degli organismi di controllo
Sanzioni fin a 20.000.000 € o al 4% del fatturato mondiale, nel caso in cui siano violati:
- Principi relativi al trattamento ed al consenso
- Disposizioni relative ai diritti dell’interessato
- Disposizioni in materia di trasferimento dati
- Ordine di cessazione del trattamento
Per ulteriori informazioni e consulenze per come adeguarvi non esitate a contattarmi
Scarica il testo completo della normativa, in lingua italiana e formato PDF