Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

GDPR e settore ICT, i modelli di attuazione della compliance

La normativa in materia di privacy ha influito sulla quotidianità delle aziende del settore ICT: ecco quali sono tutte le azioni che le imprese devono compiere per adeguarsi in modo corretto al GDPR

19 Ago 2019
C

Andrea Citterio

Privacy Officer


La normativa privacy ha influito sulle aziende del settore ICT, che hanno a disposizione diversi modelli per attuare le varie fasi necessarie alla compliance. Dopo l’entrata in vigore del GDPR, è stata la volta del Decreto legislativo 10 agosto 2018, n. 101 che adegua il Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003) alle disposizioni del GDPR.

Mentre alcuni aspetti sono rimasti invariati o marginalmente invariati come, ad esempio, il principio di liceità del trattamento dei dati personali, l’obbligo dell’informativa o l’obbligo del consenso, altri aspetti sono stati introdotti ex novo, apportando una serie di innovazioni che stanno avendo, tuttora, un impatto importante nelle attività che le aziende del settore ICT svolgono quotidianamente. In questo articolo vedremo i passi necessari affinché l’azienda possa considerarsi compliant al Regolamento, provando a calare alcuni temi (progettazione, erogazione di servizi IT o la consulenza) all’interno dei principi che dobbiamo rispettare.

Il contesto normativo

Innanzitutto, il GDPR abbandona un sistema di tipo formalistico basato sulla previsione di regole formali, adempimenti analiticamente definiti e minime misure di sicurezza espressamente elencate, per passare a un sistema di governance dei dati personali, basato su una responsabilizzazione sostanziale (concetto di “accountability) del Titolare del trattamento, che deve quindi garantire e dimostrare in ogni momento la conformità al Regolamento. Questo, a mio avviso, è il principio da cui partire per rendere la propria azienda compliant.

Uno dei primi problemi che le aziende si trovano ad affrontare è legato al costo sostenuto per tale adeguamento. E’ però importante comprendere il valore, anche economico, dei dati personali che vengono trattati, soprattutto laddove vi siano dati personali di Clienti o fornitori, consci del fatto che la perdita o l’utilizzo illegittimo di tali dati potrà generare una perdita di denaro superiore al costo inizialmente sostenuto per l’adeguamento al Regolamento. Questo aspetto potrà essere superato solo quando l’azienda acquisirà il concetto di responsabilizzazione sopra espresso, che avverrà nel momento in cui tutte le strutture aziendali, in primis il Management, vedranno nel “Progetto GDPR” un’opportunità e non solo una costrizione o un costo. Per fare questo è fondamentale mettersi nella condizione di riconoscere le aree critiche del proprio business, autovalutandosi, ed affidandosi, se necessario, alla consulenza di persone capaci che possano guidare l’azienda nel costruire un sistema semplice (perché calato sulla propria realtà e non perché copiato da realtà distanti miglia) ma allo stesso tempo efficace.

Il modello per la protezione dei dati

L’azienda potrà dotarsi di un modello per la protezione dei dati personali che possiamo schematizzare in quattro sotto modelli:

  • Organizzativo;
  • Operativo;
  • Architetturale e della sicurezza;
  • Di controllo.

Questi potranno costituire un vero e proprio “Manuale della Privacy” che diverrà il punto di riferimento aziendale in tema di privacy. L’azienda deve guardarsi allo specchio individuando la propria struttura organizzativa (organigramma e funzionigramma) ed eventuali trattamenti terziarizzati all’esterno. In tale modello andremo a mappare l’organizzazione, i ruoli e le competenze in ambito data protection della popolazione aziendale, ivi comprese le eventuali iniziative formative da porre in essere. L’aspetto legato all’organizzazione è di importanza fondamentale poiché permette di definire chi svolge ruoli di indirizzo e governo, esecuzione e controllo.

Nel primo caso identificheremo chi definisce le linee di indirizzo del modello per la protezione dei dati personali e chi prenderà decisioni in merito alle modifiche necessarie aventi un impatto significativo sul modello, anche attraverso un’opportuna valutazione dei rischi di non conformità (ad esempio tale funzione potrà essere svolta da un apposito Comitato). Nel secondo caso identificheremo coloro che garantiranno giornalmente la corretta applicazione del Modello per la protezione dei dati personali quali i referenti interni, le persone autorizzate al trattamento o eventuali Responsabili esterni nominati dall’azienda.

Nel terzo caso identificheremo chi ha i compiti di controllo: l’art.37, par.1 del GDPR, prevede che il Titolare del trattamento ha l’obbligo di designare il responsabile della protezione dei dati (altrimenti detto RPD o DPO). Concentrandosi sui soggetti privati, nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c) del GDPR, la designazione del DPO non è obbligatoria (ad esempio con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento). Tuttavia, come specifica il Garante, la nomina “resta comunque raccomandata, anche alla luce del principio di «accountability» che permea il Regolamento”. Il consiglio è pertanto quello di valutare tale nomina soprattutto laddove l’azienda vanti, tra i propri Clienti, Società che operano nel settore pubblico o che, in generale, hanno un obbligo di nomina del DPO, poiché l’assegnazione di una commessa potrebbe essere vincolata alla presenza in azienda di questa figura.

Il modello operativo

Nel modello operativo costruiremo l’insieme dei processi, regole e documenti necessari ad essere compliant al Regolamento. Ai sensi dell’art.5 del GDPR il Titolare del trattamento non solo è tenuto a garantire il rispetto dei principi applicabili al trattamento di dati personali, ma deve essere in grado di mettere in atto, come specificato nel considerando (74), “misure adeguate ed efficaci che permettano anche di comprovarne l’efficacia”. Di seguito, senza entrare nel dettaglio specifico, l’elenco degli interventi che andremo ad effettuare:

  • Informative e consensi (artt. 6-14): vanno definiti i modelli di informative e consensi che derivano da una corretta analisi dei dati trattati dall’azienda e che contengano una reale corrispondenza tra le finalità in essi contenute e quelle indicate nel Registro dei trattamenti. In un’ottica di progettazione ed erogazione di un servizio per conto terzi, saranno questi ultimi, in qualità di Titolari del trattamento, a predisporre tale documentazione;
  • Diritti dell’interessato (artt.15-23): se è importante prevedere e predisporre una procedura che gestisca tutte le richieste che gli interessati possono fare al Titolare del trattamento, lo è maggiormente in un’ottica di realizzazione di un progetto o di un servizio (si pensi alla progettazione di una piattaforma e-commerce). Il prodotto finale che andremo a consegnare al Titolare del trattamento, che quindi sarà immesso sul mercato, dovrà garantire il pieno esercizio, da parte degli interessati al trattamento, dei principali diritti posti a loro tutela (rettifica, oblio, limitazione, etc). Resta inteso che eventuali sanzioni che il committente dovesse subire per un’errata progettazione ci potranno essere addebitate;
  • Registri dei trattamenti (art.30): anche se il Regolamento (Art.30, par.5 del GDPR) esonera dall’obbligo di tenuta del Registro dei trattamenti le imprese con meno di 250 dipendenti a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati, si ritiene ormai che siano uno strumento necessario perché saranno alla base dell’attività ispettiva. Il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto. I registri non devono quindi divenire dei semplici contenitori statici ma dovranno essere continuamente aggiornati. Sarà compito del Privacy Officer, se presente in azienda, sensibilizzare le singole funzioni a comunicare costantemente eventuali novità o variazioni;
  • Responsabili del trattamento (art.28): qualora un Cliente dovesse commissionarci un progetto o l’erogazione di un servizio, che preveda, sin dalla fase di progettazione, un trattamento di dati personali, solo se saremo in grado di presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate”, potremo essere nominati “Responsabile esterno del trattamento”. A tendere, questo aspetto, farà la differenza tra un’azienda virtuosa, che quindi continuerà a lavorare perché darà garanzia di affidabilità, e un’azienda che non riuscirà a stare al passo con i tempi e con i cambiamenti. Esiste poi il caso della c.d. consulenza informatica, dove l’azienda manda i propri dipendenti a svolgere delle attività presso il Cliente; a volte può succedere che questi prestino la loro consulenza su progetti commissionati al Cliente da un Titolare del trattamento in qualità di committente: laddove vi siano le condizioni previste dall’art.28 del GDPR, il rapporto tra le Società potrà essere disciplinato da un contratto di nomina a Responsabile esterno e, nella seconda ipotesi, di sub-responsabile;
  • Data Breach (Artt.33-34): ricordiamoci che siamo tenuti a notificare una violazione al Garante, senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui ne siamo venuti a conoscenza salvo non si possa dimostrare che è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’Art.33, par.2 del GDPR prevede inoltre che anche il Responsabile del trattamento informi il Titolare della violazione senza ingiustificato ritardo;
  • DPIA (data protection impact assessment) (Art.35-36): è una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Deve essere condotta prima di procedere al trattamento e potremmo inquadrarla come una attività successiva all’iniziale analisi dei rischi laddove ne ricorrano i requisiti;
  • Data Protection by Design e by Default (art.25): all’interno di una azienda che opera nel settore ICT questo è un aspetto che ritengo fondamentale laddove il business preveda attività di progettazione (ad es. di un applicativo, di un sito e-commerce, etc) o di erogazione di servizi. Dobbiamo mettere in atto sin dalla progettazione, e prima che inizi il trattamento dei dati, tutte le misure tecniche ed organizzative necessarie ad attuare i principi di protezione dei dati (by design). Questo implica che si faccia una seria valutazione dei rischi, opportunamente documentata (ad es. in fase di progettazione di un software o di un applicativo da vendere sul mercato, sarà il Titolare del trattamento a dover sviluppare le valutazioni del rischio sull’uso del software o dell’applicativo che dovrà quindi essere disegnato conformemente ai dettami del GDPR. Viceversa l’utilizzo di software o applicativi di aziende terze comporta che siano quest’ultime a dover sviluppare le valutazioni del rischio). Il suggerimento è quello di impostare un questionario che possa aiutare il Titolare del trattamento in questa analisi, divenendo strumento utile di confronto anche laddove, caso forse più frequente, la progettazione debba essere fatta in accordo con il Committente. Altro aspetto è la necessità di adottare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento e che questi siano conservati per il minor tempo possibile (by default). Per un ulteriore approfondimento si possono consultare le linee guida di Enisa “Recommendations on shaping technology according to GDPR provisions Exploring the notion of data protection by default – DECEMBER 2018;

Modello architetturale e della sicurezza

Permette di identificare e classificare i dati personali con particolare attenzione a “categorie particolari di dati” (ex dati sensibili) e a “dati relativi a condanne penali e reati” (Artt. 9-10 del GDPR). Un ulteriore passo consisterà nel mappare i rischi che il trattamento dei dati personali presenta (ad es. rischio alto, medio, basso) e le misure tecniche ed organizzative per garantire il livello di sicurezza adeguato al rischio tenendo conto, ai sensi dell’art.32 del GDPR, “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Queste misure permettono di proteggersi non solo da attacchi diretti di tipo informatico ma anche da quelli “ambientali” legati all’ambiente fisico che ci circonda (terremoti, alluvioni, etc).

Non è tuttavia solo un problema di implementare sufficienti misure per prevenire attacchi informatici portati dall’esterno (quali ransomware o il cryptoloker per citare i più recenti) ma anche di responsabilizzare i dipendenti/consulenti nell’utilizzo degli strumenti messi a loro disposizione (Pc, posta elettronica, etc). Se da un lato i costi legati alla sicurezza informatica devono essere proporzionati alle proprie dimensioni, alla tipologia ed al numero di dati trattati, è importante sviluppare una politica della sicurezza che porti a individuare gli asset da proteggere, appronti misure di protezione adeguate (ad es. installando antivirus, firewall, etc), sia in grado di rilevare la minaccia, attivi delle difese appropriate e permetta di ristabilire, nei casi peggiori, le condizioni iniziali (c.d. disaster recovery). Questo vale sia per le attività svolte in casa propria, sia maggiormente per le attività che ci vengono appaltate (pensiamo ad esempio al caso in cui il Cliente ci commissiona la gestione dei dati personali di tutti i suoi Clienti, fornitori o interessati al trattamento).

Modello di controllo

Il modello di controllo prevede il monitoraggio continuo degli aggiornamenti normativi in materia di protezione dei dati personali, gli audit interni per verificare l’adeguatezza del sistema privacy, le comunicazioni agli organi sociali o a determinate strutture aziendali sull’esito delle attività svolte, i risk assessment e, fondamentale, il piano della formazione continua alla popolazione aziendale.

Conclusioni

Come abbiamo visto ci sono degli aspetti delicati che spesso incidono nei rapporti aziendali. Se il GDPR da un lato ha responsabilizzato le Società obbligandole in solido a un trattamento dei dati personali più puntuale e sicuro, dall’altro pone dei temi puramente etici che spesso possono sfociare in aspetti più commerciali e, passatemi il termine, di quieto vivere. Porre in essere tutte le azioni necessarie ad adeguare il proprio business a quanto richiesto dal Legislatore europeo potrà divenire nel tempo, se il sistema privacy sarà adeguatamente mantenuto ed aggiornato attraverso periodici audit interni, un valore aggiunto per l’impresa che, da un lato, si mette al sicuro da un sistema sanzionatorio che guarda alla sostanza e non alla forma (ricordiamo che la sanzione prevista va dai 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, ai 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) e, dall’altro, diverrà competitiva nel mercato di riferimento garantendo che i propri prodotti o servizi siano rispondenti ai dettami del GDPR e, perché no, recuperando attraverso questi ultimi i costi di adeguamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4