Benvenuto, RGPD

Oggi, 25 maggio 2018, è una data storica.

Dalla mezzanotte ha effetto il nuovo Regolamento Generale sulla Protezione dei Dati Personali, il famoso GDPR … oops RGPD (il Garante Soro ha detto “se vogliamo usare gli acronimi, almeno usiamo quelli italiani”).

Non ci sono stati rinvii, come avevo anticipato, a più riprese, a tutti.

Il “Regolamento” rappresenta un traguardo importante per la tutela della dignità dei cittadini europei, nel contesto della rapida evoluzione tecnologica che pone il dato personale al centro del business delle grandi imprese Internet, ma non solo.

L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati personali; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo affinché la tutela dei dati personali diventi un leitmotiv delle organizzazioni.

Il nuovo Regolamento:

  • impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
  • introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
  • determina un flusso più consapevole e accorto sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
  • obbliga le organizzazioni ad implementare nuove architetture di trattamento sicure e ad effettuare maggiori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breach.

Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a quelle con sede legale fuori dall’UE che trattano dati di cittadini europei; questo nuovo concetto di “extra-territorialità” si basa su di un concetto chiaro: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR avrà forte rilevanza sulle grandi organizzazioni Internet che trattano dati di milioni di persone (come per esempio fanno Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).

Ieri, all’incontro del Garante con i DPO … oops RPD, ho appreso che sono oltre 10.000 i miei “colleghi” italiani; a tutti loro auguro buon lavoro, sperando che avremo modo di incontrarci e fare rete, come ci è stato richiesto.

Ma sopratutto auguro buon lavoro a tutti i Titolari del Trattamento, ai loro Responsabili ed Incaricati, con l’auspicio che il nuovo Regolamento costituisca, per loro, non un peso aggiuntivo ma una risorsa ed una opportunità di crescita.

Da ultimo, un pensiero non può che andare alla Autorità Garante per la Protezione dei Dati Personali, che tanto ha fatto in questi 20 anni per la tutela dei dati dei cittadini italiani; da domani essa scomparirà, per lasciare il posto alla nuova Autorità di Controllo.

DPO data protection officer, soggetti privati obbligati alla nomina

Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPOData Protection Officer.

Ricevo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?

L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni ed aziende private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (tra le altre prerogative, sarà il suo punto di contatto con l’organizzazione); è stata predisposta una apposita procedura di comunicazione del RPD.

Firefox e Privacy by Design

Successivamente alla piena entrata in vigore del Regolamento, ricevo molte richieste sui cookies e le relative informative dei siti web.

Vorrei proporre, ai miei 4 occasionali visitatori, una nuova prospettiva dalla quale approcciare il problema.

Dapprima voglio ricordare come molti survey, effettuati da più parti, indicano come i visitatori dei siti web non si soffermano quasi mai a leggere l’informativa, neanche quella semplificata; è quindi errato il concetto alla base.

Propongo quindi di spostare il problema su di un diverso ambito; quello di dataprotection by design.

Coloro che visitano un sito web utilizzano un software definito web browser; si tratta quindi di un software che gli utenti possono liberamente configurare (anzi devono, se tengono alla propria privacy).

Purtroppo molti non conoscono bene le implicazioni conseguenti ad una errata o mancata configurazione; nello specifico vorrei focalizzare sulla gestione dei cookies di Firefox.

Prendiamo come browser di esempio Firefox in quanto molto conosciuto e da sempre paladino delle libertà in rete; nella sua configurazione di default, esso consente la creazione di tutti i cookies, anche di terze parti, e la conservazione sino alla loro scadenza (impostata dal codice del sito web che lo ha generato).

Questa non è una configurazione “privacy by design”; la configurazione privacy migliore sarebbe quella di non accettare nessun cookie.

Dato che spesso tale configurazione non consente il corretto funzionamento del sito (moltissimi siti utilizzano cookie tecnici per il loro funzionamento) la configurazione minimale e funzionante è quella che indico nella immagine soprastante: accetta solo cookie di prima parte e conservali sino alla chiusura del programma.

In questo modo, non verranno resi possibili cookies di terze parti, mentre quelli tecnici saranno rimossi alla chiusura del browser.

Proporrò ai creatori di Firefox di impostare, durante l’installazione del software, tali parametri come di default.

Molto più semplice e lineare che costringere milioni di siti ad arrampicarsi sugli specchi per rendere compliant i loro servizi, farciti di servizi di terze parti.

Ritengo che questo dovrà valere per ogni software, dispositivo o app che gli utenti possano installare.

Certo, occorrerà una nuova mentalità; spero che il GDPR, ma anche il prossimo Regolamento e-privacy, contribuiranno a tale mutamento.

Gestione della violazione di dati personali

Come sappiamo, il GDPR introduce specifici obblighi, per tutti i Titolari del Trattamento di Dati Personali, inerenti una eventuale violazione dei dati personali (definita anche data breach).

Cosa è una violazione dei dati personali?
Per «violazione dei dati personali» si intende ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Essa può interessare trattamenti di dati personali effettuati con supporti cartacei oppure con strumenti informatici; ovviamente tale secondo aspetto presenta un maggiore indice di probabilità. Si tenga inoltre conto che non dobbiamo pensare a SE, ma a QUANDO esso avverrà, ed essere pronti a gestirlo.

All’art. 33 del GDPR è prescritto di “comunicare alla Autorità di Controllo, entro 72 ore dal momento che se ne è avuta conoscenza, la violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Art. 34 “Qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Voglio sottolineare che, qualora il data breach accada presso un Responsabile del Trattamento esterno (es. lo studio commerciale o il centro paghe), esso deve immediatamente informare i Titolari dei Trattamenti interessati, in quanto spetta ad essi mettere in atto le misure dapprima indicate.

Qualora un data breach interessi sistemi informativi, segnalo come sia importante gestirlo con l’ausilio di persone estremamente esperte e competenti; infatti quasi sempre tali eventi sono correlati ad attività penalmente rilevanti (es. artt. 615 ter, quater e quinquies, codice penale).

Occorre quindi intervenire non solo per chiudere la breccia, ma (prima) anche con le opportune attività di informatica forense.

Quindi consiglio alle organizzazioni di definire un dettagliato piano di gestione del data breach, per evitare di doverlo fare (magari in preda al panico) nelle poche ore a disposizione.

Barzelletta sul DPO

Prendendo spunto da alcune organizzazioni pubbliche, che hanno nominato quale D.P.O. il loro responsabile dei servizi informatici, una barzelletta sul D.P.O.

Piacere, sono il sig. Verdi, responsabile dei servizi informatici. Piacere mio, sono sempre il sig. Verdi, Responsabile della Protezione dei Dati.

Il Sig. Verdi (nella sua veste di DPO) chiede allo stesso Sig. Verdi (nella sua veste di Responsabile IT) che cosa mi dice del trattamento dei dati personali di questa organizzazione?

Sig. Verdi, cosa vuole che dica? L'abbiamo progettato, realizzato, testato e certificato noi, quindi TUTTO PERFETTO!

P.S. ovviamente il Sig. Verdi è un nome comunissimo che ho utilizzato nel racconto di fantasia; ogni riferimento a fatti e persone è puramente fortuito e non voluto.

Invece non è fantasia il fatto che il Garante tedesco ha già sazionato, nel passato, una assegnazione simile, in pieno conflitto di interessi.