La tua azienda è in regola con il GDPR? Ecco cosa devi sapere per evitare la sanzione

Introduzione

Da quando è comparso nel panorama normativo comunitario ed italiano, il Regolamento europeo per la protezione dei dati personali (GDPR) ha generato il panico. Ovunque si è diffuso il timore della sanzione – fino al 4% del fatturato e fino a 20 milioni euro – e si è scatenata una corsa affannosa per mettersi in regola, in molti casi facendo più attenzione alla conformità formale che a quella sostanziale, senza acquisire quella consapevolezza indispensabile per essere conformi al Regolamento. Possiamo affermarlo a ragion veduta, perché in Clickable collaboriamo con PrivacyLab, azienda guidata da Andrea Chiozzi, esperto di privacy e protezione dei dati personali, consulente per le aziende e Privacy Evangelist, figura da lui creata nel 2003 per diffondere un approccio ottimizzato alla gestione della Privacy.

“Il problema della protezione dei dati personali, oggi, è prima di tutto un problema di consapevolezza” dichiara Chiozzi senza preamboli “Le aziende, i professionisti, gli enti non sono consapevoli. Vedono gli obblighi imposti dal GDPR come l’ennesimo balzello. Non si accorgono che in gioco c’è molto di più, che il problema non è la sanzione. In ballo c’è la vita delle persone. Se un dato personale viene diffuso, le conseguenze per il singolo potrebbero essere importanti, se non addirittura molto gravi. Per esempio, una persona che ha una polizza sulla vita potrebbe vedersi aumentare il premio assicurativo, perché l’ospedale che l’ha in cura non ha adottato contromisure sufficienti e quindi è trapelata un’informazione riservata sulla sua salute. Sempre per lo stesso motivo, una donna in attesa di pochi mesi potrebbe perdere il posto di lavoro perché l’azienda che doveva rinnovarle il contratto è venuta a sapere del suo stato. Questi sono alcuni dei casi possibili” prosegue Chiozzi “ma ce ne sono molti altri che non riguardano solo i dati sanitari. Dipendenti, clienti, cittadini lasciano i propri dati ad enti privati e pubblici, che hanno il dovere di proteggerli. Perché i dati che le persone ci lasciano non sono nostri. Ce li hanno affidati e quindi dobbiamo fare tutto il possibile per tenerli al sicuro. Spesso la colpa di questa mancata consapevolezza è anche di noi consulenti. Non sempre riusciamo a trasmettere in modo chiaro cosa prevede la normativa, ci limitiamo a spiegare gli articoli di legge e non riusciamo a tradurli in processi che siano gestibili, ottimali, pensati cum grano salis per chi cerca di far quadrare i conti della sua attività ogni giorno.” Relatore nei più importanti convegni sul tema della protezione dei dati – fianco a fianco con il Professor Francesco Pizzetti, ex presidente dell’Autorità Garante per la Privacy – Chiozzi è anche commissario d’esame per l’ente di certificazione TÜV, Privacy Officer e Consulente Privacy certificato. Il suo approccio alla protezione dei dati personali è concreto. È un metodo – un metodo di counseling – che parte dal concetto di accountability, uno dei pilastri del GDPR.

Accountability: il prerequisito per essere in regola col GDPR

Secondo Chiozzi il titolare del trattamento non può essere un pilota in balìa delle onde, ma deve avere la patente nautica, il GPS, strumenti ed esperienza. Sa dove indirizzare la barca, sa mantenere la rotta, anche se il mare è in tempesta. Deve essere autonomo e consapevole nelle sue decisioni. Deve essere accountability. Accountability è un concetto anglosassone” riprende “che significa responsabilità, ma non come la intendiamo noi in Italia. È un concetto che comprende: essere consapevoli, responsabili, competenti e poterlo dimostrare con prove documentali. Come agire in concreto? Per essere consapevoli prima di tutto dobbiamo sapere quali dati personali trattiamo e come li trattiamo: solo i dati dei dipendenti? Trattiamo anche quelli dei clienti attuali e potenziali? Chi può accedervi? Dove sono custoditi: in cloud, in un faldone cartaceo, su una chiavetta USB? E come vengono utilizzati? Per avere questa consapevolezza servono formazione – ai titolari del trattamento, ai responsabili esterni e agli addetti – e consulenti capaci, che affianchino il titolare, lo aiutino a fare luce, in modo concreto, chiaro e semplice.” Afferma Chiozzi” E poi? Poi, una volta che sappiamo quali dati abbiamo e come li usiamo, dobbiamo essere competenti, fare in modo che i trattamenti che stiamo facendo abbiano un rischio residuale basso. Va fatta un’analisi dei rischi su come trattiamo i dati e dobbiamo poter certificare che le procedure con cui lavoriamo ed i sistemi che utilizziamo – software, gestionali, cloud – abbiano un rischio basso, che i nostri dipendenti siano consapevoli di quali sono i comportamenti che possono mettere in pericolo i dati personali raccolti dall’organizzazione di cui fanno parte.” Prosegue” Infine, dobbiamo essere responsabili e quindi controllare i responsabili esterni. Significa, per esempio, che se affidiamo i nostri dati ad uno studio paghe perché faccia le buste paga dei nostri dipendenti, in quanto titolari del trattamento dobbiamo assicurarci che lo studio sia compliance GDPR e dobbiamo sapere se, a sua volta, affida una parte dei trattamenti ad un altro responsabile: chi ha realizzato il software gestionale, chi gestisce il cloud eccetera. Una volta fatto tutto questo come faccio a testimoniare di essere accountability? Non basta dire: ho adottato tutte le contromisure. Bisogna fornire delle prove. Registrare tutti i trattamenti nel registro dei trattamenti, riportare le contromisure adottate ed i motivi per cui sono state adottate. Dobbiamo documentare. Fare tutto il possibile, perché nessuno è immune dal Data Breach, dalla violazione dei dati personali.”

Violazione dei dati personali e Gorilla Data Breach

Sfatiamo un mito. Violazione dei dati non è solo l’hacker che buca il sistema informatico dell’azienda. La maggior parte dei Data Breach è dovuta a errori umani, incidenti e furti: la perdita di una chiavetta USB con l’anagrafica dei clienti, l’invio della busta paga di un dipendente ad un altro, la modifica accidentale di un file. Qualsiasi azienda ha almeno un Data Breach all’anno. Le violazioni dei dati personali accadono. Forse, proprio ora, nella tua azienda si è verificato un Data Breach. Panico? Aspetta, c’è violazione e violazione, e non tutte le segnalazioni che un’azienda riceve sono necessariamente violazioni di dati. Le violazioni dei dati personali sono 6×2 e possono essere accidentali o volontarie:
  1. accesso non autorizzato, che se commesso volontariamente è spionaggio: qualcuno non poteva vedere certe informazioni, ma le ha viste
  2. copia non autorizzata, che se commessa volontariamente è furto: qualcuno ha preso dei dati che non poteva prendere e li ha copiati altrove
  3. divulgazione non prevista, che se commessa volontariamente è diffusione: qualcuno ha diffuso dei dati personali
  4. divulgazione non prevista, che se commessa volontariamente è diffusione: qualcuno ha diffuso dei dati personali
  5. modifica non autorizzata, che se commesso volontariamente diventa compromissione: qualcuno ha modificato dei dati che non poteva modificare
  6. perdita d’accesso, che se commessa volontariamente si chiama cifratura: qualcuno perde delle informazioni, che non sono più disponibili
  7. cancellazione dei dati, che se commessa volontariamente si chiama distruzione volontaria: qualcuno cancella il file che conteneva delle informazioni che erano state salvate solo lì.
“Innanzitutto, bisogna capire se la segnalazione ricevuta è effettivamente una Data Breach” dice Chiozzi “se rientra in uno dei 6 punti in elenco è una violazione e va riportata nel registro dei trattamenti. Quali violazioni comunicare al Garante?” prosegue ”Non tutte. Solo quelle che presentano un rischio per i diritti e la libertà delle persone fisiche. Quindi le violazioni di tipo 2. E va fatto entro 72 ore dal momento in cui il titolare ne viene a conoscenza. Inoltre, va comunicata anche agli interessati: le persone i cui dati sono stati violati. Con un danno reputazionale che può rivelarsi ben più grave della sanzione.” sottolinea Chiozzi ”Ecco perché è importante essere accountability. È importante perché, se si verifica una violazione di tipo 2, puoi dimostrare che hai fatto tutto il possibile per tenere al sicuro i dati: puoi testimoniarlo, hai le prove che il rischio residuale ottenuto con le tue contromisure era basso. Le violazioni accadono.” conclude “Il problema non è dichiarare la violazione. Se la dichiari non prendi la multa. La sanzione arriva se non sei accountability.” Il titolare del trattamento deve sapere cosa fare in caso Data Breach e nel momento in cui arriva una segnalazione deve capire nel più breve tempo possibile se è effettivamente una violazione e se è di tipo 1 o di tipo 2. PrivacyLab ha realizzato il tool Gorilla Data Breach proprio a questo scopo. Gorilla Data Breach guida l’utente nella valutazione dell’incidente per capire se si tratta di una violazione di dati personali e come bisogna comportarsi, calcola la gravità dell’incidente e identifica il livello della violazione. Infine, permette, se necessario, di predisporre la comunicazione del Data Breach al Garante per la protezione dei dati personali.

PrivacyLab un’azienda dalle molte anime: software cloud, consulenza, formazione

Il software di PrivacyLab è il software in cloud che permette ad aziende, enti e consulenti di gestire quotidianamente tutti gli adempimenti del GDPR ed evitare le sanzioni, e quindi di:
  • verificare la sicurezza dei dati personali trattati
  • determinare le misure necessarie per trattare correttamente i dati personali
  • fare l’analisi dei rischi, il piano di compliance e l’impact assessment (DPIA)
  • generare i registri dei trattamenti, gli atti di nomina e i contratti
  • archiviare e tenere traccia di tutti i documenti prodotti
  • informare i soggetti interessati, raccogliere il consenso e generare la cookie policy
  • configurare correttamente la gestione dei dati
  • tenere sempre sotto controllo la struttura organizzativa
  • monitorare la liceità dei trattamenti e verificarne la messa in sicurezza
Il servizio di consulenza di PrivacyLab è certificato e assicurato contro gli errori. I consulenti PrivacyLab sono professionisti competenti, che hanno seguito un percorso formativo garantito da Privacylab e Unicert, costruiscono percorsi personalizzati e guidano l’azienda verso la compliance GDPR usando metodologie certificate. PrivacyLab Academy è la divisione di PrivacyLab per l’alta formazione su GDPR, gestione dei dati personali, DPO, cyber security e consulenza privacy. Organizza corsi seminari ed eventi riconosciuti dai principali enti di certificazione italiani ed europei e corsi di formazione online. La tua azienda è in regola con il GDPR? Contatta PrivacyLab per gestire tutti gli adempimenti previsti dal Regolamento europeo ed evitare la sanzione.