GDPR e software house

Il nuovo codice Europeo sulla Protezione dei Dati Personali impatta in modo rilevante sulle organizzazioni che producono software (software house).

In primo luogo, perché dovranno garantire che il software da loro prodotto (o commercializzato) sia compliant ai dettami del GDPR.

I più rilevanti sono quelli derivanti dall’articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Quindi il nuovo approccio dettato dal GDPR è basato non più prevalentemente sulla persona ma sulla protezione del dato personale in sé.

Cosa significa Privacy by Design?
Il concetto indica che, in ogni sistema di trattamento, occorre prevenire (prima) invece che intervenire (poi); significa progettare un sistema (ambiente software, servizio SAAS, Cloud Platform, …) che metta alla base delle proprie funzioni la protezione dei dati.
La maggior parte degli incidenti di data security, nel GDPR definiti con il termine poco calzante di Data Breach, derivano da ambienti e sistemi software con bug o vulnerabilità, oppure mal progettati e/o mal configurati.

Cosa significa Privacy by Default?
Il concetto di Privacy by Default determina che per impostazione predefinita i sistemi di trattamento devono trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati personali; nel definire il periodo strettamente necessario, occorre quindi anche considerare il nuovo diritto all’oblio.

Scuola, insufficienza in sicurezza

Stavolta tocca alla SCUOLA prendersi un bel 4 in sicurezza informatica.

Pare che i soliti anonimi abbiano violato alcuni server di agenzie correlate al MIUR.

Copione già visto lo scorso anno in occasione dell’attacco hacker a Unicredit.

Eppure, mi ricordo che AgID, nella circolare 18 aprile 2017, n. 2/2017 dal titolo: “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, da attuarsi tassativamente entro il 31 dicembre 2017

Come sempre, la resistenza della intera catena dipende dall’anello più debole.

Dal 25 Maggio un evento del genere si chiamerà Data Breach.

GDPR ed associazioni di volontariato

“Ma le organizzazioni No-Profit, devono mettersi in regola con il nuovo regolamento sulla protezione dei dati personali?”

Il GDPR vale per ogni organizzazione che tratti dati personali, e non sono attualmente previste esenzioni o semplificazioni, neanche per le attività di volontariato senza scopo di lucro.

Dobbiamo tener conto che tali attività trattano molti dati personali, perlopiù di levatura sensibile o particolare, come vengono adesso definiti (i dati sanitari, ma spessissimo anche altro).

Inoltre, tali organizzazioni hanno spesso convenzioni con USL, enti ed amministrazioni pubbliche, le quali dovranno obbligatoriamente richiedere il rispetto della normativa GDPR nel trattamento dei dati personali a loro affidati.

Ritengo che il percorso di adeguamento di una piccola organizzazione no-profit sia possibile (oltre che doveroso), anche con investimenti contenuti; il cambiamento rilevante dovrà essere principalmente organizzativo e di consapevolezza. Talvolta basta eliminare i trattamenti in eccesso o cambiare le modalità di trattamento, per risolvere una non conformità.

La base di partenza sarà comunque la consapevolezza e la responsabilizzazione; esse si fondano sulla conoscenza, quindi da una buona formazione, e dalla definizione e gestione delle opportune misure organizzative.

UPDATE: sono giunte moltissime richieste di chiarificazione in merito a questo post; ciò dimostra il grande interesse delle varie organizzazioni per l’adeguamento.

Cercherò di rispondere a tutti, qualora il quesito posto possa essere argomentato con una risposta e-mail.

 

Formazione incaricati al trattamento dei dati personali: obbligo o no?

Fra le domande che più spesso mi vengono rivolte, “ma è vero che la formazione privacy non è più obbligatoria?” ; vediamo di chiarire.

Dall’introduzione del D.Lgs. 196/03, viene previsto l’obbligo formativo degli Incaricati al trattamento dei dati personali, nella regola n. 19.6 dell’allegato B, relativo alle misure di sicurezza.
Successivamente il Governo Monti, nel mese di Aprile 2012, con il decreto “Semplifica Italia” ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati.
Il testo abrogato indicava la previsione di “interventi formativi degli incaricati del trattamento (da effettuarsi prima dell’ingresso nel ruolo), per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

L’obbligo quindi, ad Aprile 2012, è venuto meno.

Dato che la gran parte dei rischi che incombono sui dati personali derivano proprio da come gli incaricati li trattano, in questi anni è successo di tutto; forse abbiamo semplificato troppo.

Il nuovo codice G.D.P.R. prescrive all’art. 29 che chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al D.P.O. si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda; ed inoltre c’è il nuovo concetto di “accountability“.

Da tutto ciò si evince che tutte le organizzazioni, dal 25 maggio prossimo, dovranno formare il personale che tratta dati personali, ed il grado di formazione deve essere verificato e verificabile. Non solo per evitare un reato penale, a carico del Titolare del Trattamento, ma perchè rendere edotti gli incaricati delle corrette modalità del trattamento (e degli errori da non fare) è la prima e più importante misura di sicurezza.

Contattatemi per un corso di formazione per i vostri dipendenti (incaricati al trattamento dei dati personali) calibrato su misura per le vostre esigenze aziendali.

Adempimenti Privacy GDPR

Regolamento Generale UE 2016/679

Tabella dei principali adempimenti a carico del Titolare del Trattamento

Principio alla base del trattamento:
I dati personali saranno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità sono legittime, determinate ed esplicite; i dati personali sono sempre: adeguati, pertinenti, esatti ed aggiornati, limitati a quanto necessario rispetto alle finalità, e da trattare sempre in modo da garantirne un adeguato livello di sicurezza.

Informativa agli interessati:
Ogni Titolare deve fornire una informativa ai soggetti interessati, prima di acquisire i loro dati personali; è possibile fornire preliminarmente una informativa “veloce” e successivamente quella completa; l’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale; es. il titolare deve indicare il periodo di conservazione dei dati personali, ed il perché. Inoltre, il linguaggio deve essere semplice e chiaro, alla portata anche dei soggetti minorenni. Nell’informativa, trasparente ed accessibile, sono predisposti i riferimenti per agevolare l’esercizio dei diritti degli interessati.

Il consenso degli interessati:
Occorre dapprima valutare i casi nei quali, per eseguire un trattamento è richiesto il preliminare consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso è separata, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro e le icone standard appositamente previste; quando è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato realmente prestato. Per i minori di 16 anni il consenso è prestato dal genitore.

Divieto di trattamento di dati particolarmente sensibili:
Vige il divieto generale a trattare dati sensibili particolarmente rilevanti, dati genetici e biometrici senza il parere del Garante; esistono specifiche eccezioni al divieto che il Garante ha previsto e prevederà in futuro, per la tutela della sicurezza e della vita degli interessati.

Obbligo di formazione dei soggetti che trattano dati personali:
Il Titolare del Trattamento deve preliminarmente istruire tutti coloro che saranno autorizzati a trattare i dati personali (ex. incaricati al trattamento); il livello di formazione deve essere verificato e verificabile.

Contitolarità, Responsabili Esterni e Rappresentante del Titolare extra-UE:
Occorre verificare se siano presenti situazioni di contitolarità dei trattamenti di dati personali; nel caso vengano affidati trattamenti a soggetti terzi esterni dovranno essere formalizzati gli incarichi, quale Responsabile Esterno o Titolare Esterno (in base al tipo di rapporto contrattuale). Inoltre, se l’azienda ha sede extra-UE dovrà nominare un rappresentante, stabilito nella Unione Europea.

Adozione del Registro delle Attività di Trattamento:
Adempimento obbligatorio per Titolari con almeno 250 incaricati al trattamento, ma fortemente consigliato per tutti; è il successore del vecchio DPS, anche se è un documento abbastanza diverso.

Nomina del D.P.O. – R.P.D.
Gli enti pubblici ed alcuni Titolari che trattano dati particolarmente sensibili dovranno nominare la figura del Data Protection Officer – Responsabile protezione dei Dati personali, della quale abbiamo già parlato. Potranno essere incaricati dipendenti o seggetti esterni che non abbiano conflitti di interessi. Il ruolo richiede una appropriata formazione e competenze multidisciplinari verificate prima della nomina.

Redazione D.P.I.A. e consultazione Garante:
I Titolari che hanno (o iniziano) trattamenti di dati personali particolarmente rischiosi per i diritti e le libertà delle persone, devono effettuare il DPIA – Data Protection Impact Assessment; quando tale valutazione restituisce un indice di rischio elevato, prima di effettuare il trattamento occorre ottenere il consenso della Autorità di Controllo.

Cautele per il trasferimento di dati in paesi extra-UE:
Il trasferimento di dati personali verso soggetti extra-UE deve essere effettuato nel rispetto di specifiche condizioni, affinché non sia pregiudicato il livello di protezione dei dati personali garantito dal GDPR.

Misure di sicurezza necessarie:
Il titolare del trattamento deve decidere in autonomia ed adottare misure logiche, tecniche e organizzative adeguate al fine di garantire la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le misure di sicurezza ed i sistemi di protezione/controllo debbono essere dimostrabili e periodicamente testate, revisionate ed aggiornate.

Privacy by design/default:
Tenendo conto delle caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, prima del trattamento il titolare adotta misure tecniche e organizzative adeguate a garantire la protezione dei dati come impostazione predefinita; inoltre dovrà garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento e per il tempo minimo occorrente.

Obbligo di risarcimento del danno:
Il titolare è obbligato a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento alle persone, con sanzioni sino a 20 milioni di euro o al 4% del fatturato, ove superiore; il Titolare è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Obbligo di cooperazione con l’autorità di controllo:
Il titolare è obbligato a cooperare con l’autorità di controllo, ove gliene venga fatta richiesta.

Notificazione del Data-Breach:
Ove si verifichi una violazione dei dati personali (data-breach), il Titolare è tenuto a comunicarlo al Garante entro 72 ore dal momento che ne ha avuto conoscenza.

Comunicazione della violazione dei dati personali agli interessati:
Quando la violazione della sicurezza dei dati presenta un elevato grado di rischio per i diritti e le libertà delle persone fisiche, il titolare deve darne comunicazione all’interessato senza ingiustificato ritardo; il GDPR indica i requisiti della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro.

Adempimenti privacy GDPR Toscana Arezzo Siena Grosseto Livorno Firenze Massa Carrara Pisa Pistoia Prato Lucca

Casella e-mail e cancellazione per inutilizzo

Ho ricevuto una richiesta di approfondimento, in merito ad un servizio di e-mail gratuito.

La persona lamenta il fatto che, non usando il suo indirizzo di posta elettronica personale (della tipologia nome.cognome@dominio.it) per alcuni mesi, si è trovato con la casella non funzionante.

Ha cercato maggiori informazioni tra le varie guide sul sito (che probabilmente nessuno legge prima di attivare il servizio); ha scoperto che la casella e-mail non utilizzata per due mesi viene rimossa e l’indirizzo ritorna disponibile a chiunque lo registri.

A parte le facili considerazioni pratiche, una mia riflessione: un’indirizzo e-mail, specialmente se registrato da un privato con la classica configurazione nome.cognome@dominio costituisce a tutti gli effetti un dato personale.

Che il fornitore si arroghi il diritto di cancellare (automaticamente) la casella con tutti i contenuti e di renderla nuovamente disponibile a terzi per la registrazione non pare molto compliant al regolamento sulla protezione dei dati personali.

Magari qualcuno vorrà interrogare il Garante per la Protezione dei Dati Personali ?