Introduzione
Da quando è comparso nel panorama normativo comunitario ed italiano, il Regolamento europeo per la protezione dei dati personali (GDPR) ha generato il panico. Ovunque si è diffuso il timore della sanzione – fino al 4% del fatturato e fino a 20 milioni euro – e si è scatenata una corsa affannosa per mettersi in regola, in molti casi facendo più attenzione alla conformità formale che a quella sostanziale, senza acquisire quella consapevolezza indispensabile per essere conformi al Regolamento.
Possiamo affermarlo a ragion veduta, perché in Clickable collaboriamo con PrivacyLab, azienda guidata da Andrea Chiozzi, esperto di privacy e protezione dei dati personali, consulente per le aziende e Privacy Evangelist, figura da lui creata nel 2003 per diffondere un approccio ottimizzato alla gestione della Privacy.
Relatore nei più importanti convegni sul tema della protezione dei dati – fianco a fianco con il Professor Francesco Pizzetti, ex presidente dell’Autorità Garante per la Privacy – Chiozzi è anche commissario d’esame per l’ente di certificazione TÜV, Privacy Officer e Consulente Privacy certificato.
Il suo approccio alla protezione dei dati personali è concreto. È un metodo – un metodo di counseling – che parte dal concetto di accountability, uno dei pilastri del GDPR.
Accountability: il prerequisito per essere in regola col GDPR
“Accountability è un concetto anglosassone” riprende “che significa responsabilità, ma non come la intendiamo noi in Italia. È un concetto che comprende: essere consapevoli, responsabili, competenti e poterlo dimostrare con prove documentali. Come agire in concreto? Per essere consapevoli prima di tutto dobbiamo sapere quali dati personali trattiamo e come li trattiamo: solo i dati dei dipendenti? Trattiamo anche quelli dei clienti attuali e potenziali? Chi può accedervi? Dove sono custoditi: in cloud, in un faldone cartaceo, su una chiavetta USB? E come vengono utilizzati? Per avere questa consapevolezza servono formazione – ai titolari del trattamento, ai responsabili esterni e agli addetti – e consulenti capaci, che affianchino il titolare, lo aiutino a fare luce, in modo concreto, chiaro e semplice.” Afferma Chiozzi” E poi? Poi, una volta che sappiamo quali dati abbiamo e come li usiamo, dobbiamo essere competenti, fare in modo che i trattamenti che stiamo facendo abbiano un rischio residuale basso. Va fatta un’analisi dei rischi su come trattiamo i dati e dobbiamo poter certificare che le procedure con cui lavoriamo ed i sistemi che utilizziamo – software, gestionali, cloud – abbiano un rischio basso, che i nostri dipendenti siano consapevoli di quali sono i comportamenti che possono mettere in pericolo i dati personali raccolti dall’organizzazione di cui fanno parte.” Prosegue” Infine, dobbiamo essere responsabili e quindi controllare i responsabili esterni. Significa, per esempio, che se affidiamo i nostri dati ad uno studio paghe perché faccia le buste paga dei nostri dipendenti, in quanto titolari del trattamento dobbiamo assicurarci che lo studio sia compliance GDPR e dobbiamo sapere se, a sua volta, affida una parte dei trattamenti ad un altro responsabile: chi ha realizzato il software gestionale, chi gestisce il cloud eccetera. Una volta fatto tutto questo come faccio a testimoniare di essere accountability? Non basta dire: ho adottato tutte le contromisure. Bisogna fornire delle prove. Registrare tutti i trattamenti nel registro dei trattamenti, riportare le contromisure adottate ed i motivi per cui sono state adottate. Dobbiamo documentare. Fare tutto il possibile, perché nessuno è immune dal Data Breach, dalla violazione dei dati personali.”
Violazione dei dati personali e Gorilla Data Breach
Le violazioni dei dati personali accadono. Forse, proprio ora, nella tua azienda si è verificato un Data Breach. Panico? Aspetta, c’è violazione e violazione, e non tutte le segnalazioni che un’azienda riceve sono necessariamente violazioni di dati.
Le violazioni dei dati personali sono 6×2 e possono essere accidentali o volontarie:
- accesso non autorizzato, che se commesso volontariamente è spionaggio: qualcuno non poteva vedere certe informazioni, ma le ha viste
- copia non autorizzata, che se commessa volontariamente è furto: qualcuno ha preso dei dati che non poteva prendere e li ha copiati altrove
- divulgazione non prevista, che se commessa volontariamente è diffusione: qualcuno ha diffuso dei dati personali
- modifica non autorizzata, che se commesso volontariamente diventa compromissione: qualcuno ha modificato dei dati che non poteva modificare
- perdita d’accesso, che se commessa volontariamente si chiama cifratura: qualcuno perde delle informazioni, che non sono più disponibili
- cancellazione dei dati, che se commessa volontariamente si chiama distruzione volontaria: qualcuno cancella il file che conteneva delle informazioni che erano state salvate solo lì.
“Innanzitutto, bisogna capire se la segnalazione ricevuta è effettivamente una Data Breach” dice Chiozzi “se rientra in uno dei 6 punti in elenco è una violazione e va riportata nel registro dei trattamenti. Quali violazioni comunicare al Garante?” prosegue ”Non tutte. Solo quelle che presentano un rischio per i diritti e la libertà delle persone fisiche. Quindi le violazioni di tipo 2. E va fatto entro 72 ore dal momento in cui il titolare ne viene a conoscenza. Inoltre, va comunicata anche agli interessati: le persone i cui dati sono stati violati. Con un danno reputazionale che può rivelarsi ben più grave della sanzione.” sottolinea Chiozzi ”Ecco perché è importante essere accountability. È importante perché, se si verifica una violazione di tipo 2, puoi dimostrare che hai fatto tutto il possibile per tenere al sicuro i dati: puoi testimoniarlo, hai le prove che il rischio residuale ottenuto con le tue contromisure era basso. Le violazioni accadono.” conclude “Il problema non è dichiarare la violazione. Se la dichiari non prendi la multa. La sanzione arriva se non sei accountability.”
Il titolare del trattamento deve sapere cosa fare in caso Data Breach e nel momento in cui arriva una segnalazione deve capire nel più breve tempo possibile se è effettivamente una violazione e se è di tipo 1 o di tipo 2. PrivacyLab ha realizzato il tool Gorilla Data Breach proprio a questo scopo. Gorilla Data Breach guida l’utente nella valutazione dell’incidente per capire se si tratta di una violazione di dati personali e come bisogna comportarsi, calcola la gravità dell’incidente e identifica il livello della violazione. Infine, permette, se necessario, di predisporre la comunicazione del Data Breach al Garante per la protezione dei dati personali.
PrivacyLab un’azienda dalle molte anime: software cloud, consulenza, formazione
- verificare la sicurezza dei dati personali trattati
- determinare le misure necessarie per trattare correttamente i dati personali
- fare l’analisi dei rischi, il piano di compliance e l’impact assessment (DPIA)
- generare i registri dei trattamenti, gli atti di nomina e i contratti
- archiviare e tenere traccia di tutti i documenti prodotti
- informare i soggetti interessati, raccogliere il consenso e generare la cookie policy
- configurare correttamente la gestione dei dati
- tenere sempre sotto controllo la struttura organizzativa
- monitorare la liceità dei trattamenti e verificarne la messa in sicurezza
Il servizio di consulenza di PrivacyLab è certificato e assicurato contro gli errori. I consulenti PrivacyLab sono professionisti competenti, che hanno seguito un percorso formativo garantito da Privacylab e Unicert, costruiscono percorsi personalizzati e guidano l’azienda verso la compliance GDPR usando metodologie certificate.
PrivacyLab Academy è la divisione di PrivacyLab per l’alta formazione su GDPR, gestione dei dati personali, DPO, cyber security e consulenza privacy. Organizza corsi seminari ed eventi riconosciuti dai principali enti di certificazione italiani ed europei e corsi di formazione online.
La tua azienda è in regola con il GDPR? Contatta PrivacyLab per gestire tutti gli adempimenti previsti dal Regolamento europeo ed evitare la sanzione.