Adempimenti Privacy GDPR

Regolamento Generale UE 2016/679

Tabella dei principali adempimenti a carico del Titolare del Trattamento

Principio alla base del trattamento:
I dati personali saranno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità sono legittime, determinate ed esplicite; i dati personali sono sempre: adeguati, pertinenti, esatti ed aggiornati, limitati a quanto necessario rispetto alle finalità, e da trattare sempre in modo da garantirne un adeguato livello di sicurezza.

Informativa agli interessati:
Ogni Titolare deve fornire una informativa ai soggetti interessati, prima di acquisire i loro dati personali; è possibile fornire preliminarmente una informativa “veloce” e successivamente quella completa; l’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale; es. il titolare deve indicare il periodo di conservazione dei dati personali, ed il perché. Inoltre, il linguaggio deve essere semplice e chiaro, alla portata anche dei soggetti minorenni. Nell’informativa, trasparente ed accessibile, sono predisposti i riferimenti per agevolare l’esercizio dei diritti degli interessati.

Il consenso degli interessati:
Occorre dapprima valutare i casi nei quali, per eseguire un trattamento è richiesto il preliminare consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso è separata, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro e le icone standard appositamente previste; quando è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato realmente prestato. Per i minori di 16 anni il consenso è prestato dal genitore.

Divieto di trattamento di dati particolarmente sensibili:
Vige il divieto generale a trattare dati sensibili particolarmente rilevanti, dati genetici e biometrici senza il parere del Garante; esistono specifiche eccezioni al divieto che il Garante ha previsto e prevederà in futuro, per la tutela della sicurezza e della vita degli interessati.

Obbligo di formazione dei soggetti che trattano dati personali:
Il Titolare del Trattamento deve preliminarmente istruire tutti coloro che saranno autorizzati a trattare i dati personali (ex. incaricati al trattamento); il livello di formazione deve essere verificato e verificabile.

Contitolarità, Responsabili Esterni e Rappresentante del Titolare extra-UE:
Occorre verificare se siano presenti situazioni di contitolarità dei trattamenti di dati personali; nel caso vengano affidati trattamenti a soggetti terzi esterni dovranno essere formalizzati gli incarichi, quale Responsabile Esterno o Titolare Esterno (in base al tipo di rapporto contrattuale). Inoltre, se l’azienda ha sede extra-UE dovrà nominare un rappresentante, stabilito nella Unione Europea.

Adozione del Registro delle Attività di Trattamento:
Adempimento obbligatorio per Titolari con almeno 250 incaricati al trattamento, ma fortemente consigliato per tutti; è il successore del vecchio DPS, anche se è un documento abbastanza diverso.

Nomina del D.P.O. – R.P.D.
Gli enti pubblici ed alcuni Titolari che trattano dati particolarmente sensibili dovranno nominare la figura del Data Protection Officer – Responsabile protezione dei Dati personali, della quale abbiamo già parlato. Potranno essere incaricati dipendenti o seggetti esterni che non abbiano conflitti di interessi. Il ruolo richiede una appropriata formazione e competenze multidisciplinari verificate prima della nomina.

Redazione D.P.I.A. e consultazione Garante:
I Titolari che hanno (o iniziano) trattamenti di dati personali particolarmente rischiosi per i diritti e le libertà delle persone, devono effettuare il DPIA – Data Protection Impact Assessment; quando tale valutazione restituisce un indice di rischio elevato, prima di effettuare il trattamento occorre ottenere il consenso della Autorità di Controllo.

Cautele per il trasferimento di dati in paesi extra-UE:
Il trasferimento di dati personali verso soggetti extra-UE deve essere effettuato nel rispetto di specifiche condizioni, affinché non sia pregiudicato il livello di protezione dei dati personali garantito dal GDPR.

Misure di sicurezza necessarie:
Il titolare del trattamento deve decidere in autonomia ed adottare misure logiche, tecniche e organizzative adeguate al fine di garantire la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le misure di sicurezza ed i sistemi di protezione/controllo debbono essere dimostrabili e periodicamente testate, revisionate ed aggiornate.

Privacy by design/default:
Tenendo conto delle caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, prima del trattamento il titolare adotta misure tecniche e organizzative adeguate a garantire la protezione dei dati come impostazione predefinita; inoltre dovrà garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento e per il tempo minimo occorrente.

Obbligo di risarcimento del danno:
Il titolare è obbligato a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento alle persone, con sanzioni sino a 20 milioni di euro o al 4% del fatturato, ove superiore; il Titolare è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Obbligo di cooperazione con l’autorità di controllo:
Il titolare è obbligato a cooperare con l’autorità di controllo, ove gliene venga fatta richiesta.

Notificazione del Data-Breach:
Ove si verifichi una violazione dei dati personali (data-breach), il Titolare è tenuto a comunicarlo al Garante entro 72 ore dal momento che ne ha avuto conoscenza.

Comunicazione della violazione dei dati personali agli interessati:
Quando la violazione della sicurezza dei dati presenta un elevato grado di rischio per i diritti e le libertà delle persone fisiche, il titolare deve darne comunicazione all’interessato senza ingiustificato ritardo; il GDPR indica i requisiti della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro.

Adempimenti privacy GDPR Toscana Arezzo Siena Grosseto Livorno Firenze Massa Carrara Pisa Pistoia Prato Lucca

Casella e-mail e cancellazione per inutilizzo

Ho ricevuto una richiesta di approfondimento, in merito ad un servizio di e-mail gratuito.

La persona lamenta il fatto che, non usando il suo indirizzo di posta elettronica personale (della tipologia nome.cognome@dominio.it) per alcuni mesi, si è trovato con la casella non funzionante.

Ha cercato maggiori informazioni tra le varie guide sul sito (che probabilmente nessuno legge prima di attivare il servizio); ha scoperto che la casella e-mail non utilizzata per due mesi viene rimossa e l’indirizzo ritorna disponibile a chiunque lo registri.

A parte le facili considerazioni pratiche, una mia riflessione: un’indirizzo e-mail, specialmente se registrato da un privato con la classica configurazione nome.cognome@dominio costituisce a tutti gli effetti un dato personale.

Che il fornitore si arroghi il diritto di cancellare (automaticamente) la casella con tutti i contenuti e di renderla nuovamente disponibile a terzi per la registrazione non pare molto compliant al regolamento sulla protezione dei dati personali.

Magari qualcuno vorrà interrogare il Garante per la Protezione dei Dati Personali ?

FaceBook e la privacy dei cittadini europei

Non è decisamente un buon momento per FaceBook, specialmente in Europa; gia in passato la società di Menlo Park ha avuto contenziosi con alcuni Stati (es. Francia), oltre a multe comminate dalla commissione antitrust europea

Il periodo di transizione al GDPR è iniziato nel peggiore dei modi; in Belgio una sentenza del tribunale ha intimato a FaceBook di cessare la raccolta dei dati eseguita senza aver correttamente informato gli utenti; l’accusa sostiene che Facebook è in grado di raccogliere i dati di navigazione anche quando un utente visita un altro sito, a patto che sia comunque loggato sul social; ciò consentirebbe a Facebook di ottenere una profilazione dell’individuo molto dettagliata e interessantissima per gli inserzionisti pubblicitari.

In Germania un tribunale di Berlino ha intimato a Facebook di accettare iscrizioni di utenti che vorranno usare uno pseudonimo.

Adesso uno studio della università spagnola Carlos III di Madrid ha evidenziato come FaceBook abbia raccolto e detenga informazioni sensibili sui propri utenti.

Chiunque ha intenzione di registrarsi in un social network deve essere consapevole che i suoi dati personali costituiscono il valore sul quale il social network si basa; inoltre la recente frontiera della profilazione utente costituisce il nuovo eldorado di internet e nessuno potrà mai bloccarlo.

FaceBook da un lato informa che si adeguerà al nuovo GDPR mentre dall’altro ricorre con i suoi avvocati contro la sentenza tedesca. Staremo a vedere cosa accadrà dopo il 25 maggio.

ItaSec18

In questi giorni si svolge un importante evento sulla CyberSecurity, ITASEC18, organizzato da CINI e Politecnico di Milano, insieme al Sistema di informazione per la sicurezza della Repubblica e AssoLombarda, in pratica gli “stati generali” della cybersecurity italiana.

Durante i quattro giorni di lavori, è stato presentato il libro bianco  “Il Futuro della Cybersecurity in Italia” curato da Roberto Baldoni, Rocco De Nicola, Paolo Prinetto; lo scenario, non solo nazionale, per la sicurezza informatica e le linee di intervento, in sintonia con la recente evoluzione della normativa italiana e in sintonia con l’applicazione delle prossime normative europee.

Speriamo che coloro che hanno/avranno compiti istituzionali almeno lo leggano.

Alcuni temi di rilievo sul tavolo:

  • metà delle aziende italiane danneggiate da attacchi;
  • mancanza di talenti nella CyberSec (quelli che ci sono se ne vanno all’estero);
  • il data-breach della piattaforma Rousseau;
  • ethical hacking: white hat vs black hat;
  • serve un piano straordinario sulla cybersecurity;
  • le minacce del prossimo futuro: Botnet, APT e RaaS.

Alcuni interventi:

Affidare esclusivamente all’acquisto di una tecnologia in ottica difensiva la sicurezza informatica di un’azienda è l’errore cui più di frequente si assiste. In presenza di attacchi sempre più human-like limitarsi a questo comporta solo una perdita di denaro.

Uno stato sovrano deve avere controllo totale di alcune tecnologie chiave. Dunque va deciso quali debbano essere sviluppate a livello nazionale e quali invece reperite su mercato estero.

Il registro delle attività di trattamento

Il nuovo regolamento sulla protezione dei dati personali prevede che ogni titolare di trattamento che abbia oltre 250 dipendenti, debba tenere un registro delle attività di trattamento.
Ritengo che tale strumento possa costituire un valido aiuto anche per quelle realtà che ne sarebbero esonerate.
Il registro delle attività di trattamento costituisce il riferimento primario per tutte le attività di valutazione, auditing, supervisione, valutazione del rischio del titolare del trattamento e non da ultimo le attività ispettive e di controllo delle autorità incaricate.
Le moderne organizzazioni trattano molti dati personali, in diversi luoghi e con molti stumenti; inoltre intrattengono dei flussi informativi con altri titolari di trattamento.
Un registro che indichi chiaramente dove sono i dati, quali sono le finalità, come vengono trattati, da chi, quali sono i flussi, per quanto tempo verranno conservati e le misure di sicurezza applicate è uno strumento fondamentale, specialmente in caso di eventuali problemi.

Che sia realizzato con strumenti self-made (es. foglio di calcolo) oppure aquistando un applicativo ad-hoc, rimane lo strumento principale nelle mani del titolare del trattamento per capire i processi di trattamento dei dati personali, in essere presso le proprie strutture.

UPDATE: il Garante ne consiglia caldamente la redazione a tutte le realtà, anche coloro che non ne hanno l’obbligo.

Accountability nel GDPR

Il nuovo regolamento europeo 679/2016 modifica radicalmente l’approccio finora adottato, introducendo il concetto di accountability (tradotto come responsabilizzazione, ma che significa “dover rendere conto del proprio operato”).

Con la regolamentazione attuale e precedenti, l’approccio alla sicurezza era di tipo “reattivo“; si determinavano misure di sicurezza, spesso minime, e si reagiva quando esse non erano sufficienti.

L’esperienza ha dimostrato l’inadeguatezza di questo schema; adesso viene richiesto a titolari e responsabili un approccio proattivo, con comportamenti che prevengano (e/o riducano) in modo effettivo il possibile evento dannoso.

Infatti, con un parere del Gruppo di Lavoro Articolo 29, si è specificato che “il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.”

Quindi non più misure minime di sicurezza, ma l’introduzione e l’applicazione di un sistema di misure (giuridiche, organizzative, di sicurezza, …) definite dal titolare come adeguate e rispondenti alle norme del nuovo codice di protezione.

Senza dimenticare la responsabilizzazione e la formazione dei responsabili e degli incaricati al trattamento dei dati personali.