IL GDPR: COME ADEGUARSI
In questo articolo è stato presentato nei dettagli il regolamento UE 279/2016, meglio noto come General Data Protection Regulation (GDPR).
Il regolamento è stato anche definito, scherzosamente, “Gran Decreto Privacy” in quanto successore del D.lvo 196/2003, noto come “Decreto Privacy”.
Riassumiamo nei dettagli le principali conseguenze del GDPR:
- Definizione chiara di cosa sono i dati personali, ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile”;
- Definizione di “interessato” come la persona cui i dati personali si riferiscono o di cui comunque consentono l’identificazione;
- Definizione di trattamento di dati personali, ossia “qualsiasi operazione o insieme di operazioni” compiute sui dati personali, in modo automatizzato o manuale/cartaceo;
- Definizione di “titolare del trattamento” come l’entità giuridica che effettua i trattamenti dei dati (azienda, ente pubblico…) e di “responsabile del trattamento” come persona fisica o giuridica incaricata di eseguire uno o più trattamenti da un titolare;
- Principio di “liceità, correttezza e trasparenza” dei trattamenti: ogni trattamento deve basarsi su una base legale (ad esempio, l’esecuzione di un contratto) ed il suo avvenire deve essere spiegato chiaramente all’interessato (vedi punto successivo);
- Consenso informato: l’interessato, quando fornisce i propri dati per un trattamento per cui vale il principio suddetto, ha diritto a ricevere in modo chiaro, conciso e trasparente tutte le informazioni relative alle modalità del trattamento, compresi le indicazioni dei responsabili;
- Possibilità per l’interessato di fare valere i propri diritti, in particolare quello alla cancellazione dei dati (“oblio”) su richiesta esplicita;
- Obbligo per i titolari ed i responsabili di rispondere alle richieste degli interessati in tempi brevi;
- Obbligo per i titolari ed i responsabili di garantire:
- L’esattezza dei dati personali degli interessati in proprio possesso (pensiamo a quante problematiche possono sorgere perché qualcuno ha sbagliato a inserire un nome o un indirizzo in un archivio);
- La disponibilità e l’integrità dei dati personali (quindi il fatto che essi siano disponibili quando necessari e protetti da danni accidentali);
- La riservatezza dei dati personali (quindi la protezione rispetto ad accessi non previsti dai trattamenti);
- Responsabilità (“accountability”): titolari e responsabili di un trattamento sono tenuti a mettere in atto tutte le misure necessarie (si noti, non “minime”) per garantire i punti suddetti; questo significa costruire processi organizzativi e implementare le misure tecniche adatte, il che presuppone una adeguata analisi del rischio connesso con i trattamenti;
- Obbligo di notifica al Garante Privacy e in molti casi anche a tutti gli interessati, di incidenti relativi ai dati personali, con il conseguente danno di immagine.
Quindi una ampia serie di obblighi.
Del tutto nuovi? No, in quanto molti sono solo l’aggiornamento di obblighi prescritti già nel vecchio decreto privacy del 2003, o addirittura dalla legge del 1996, ma in molti casi rimasti lettera morta e mai messi in opera. Inoltre il GDPR è conforme (o, per meglio dire, ispirato) alle buone pratiche di framework internazionali come ITIL, COBIT e PMBoK e agli standard di sicurezza l’ISO27001, di gestione del rischio ISO 31000 e della privacy ISO29000. Qualcuno lo ha definito come “una normativa ISO imposta per legge”.
Cosa significa questo?
Che non si può pensare di rendersi conformi al GDPR semplicemente scrivendo pochi documenti da chiudere nei cassetti come purtroppo si è fatto in tanti casi e con tanti regolamenti. Lo sforzo necessario per raggiungere la conformità è tanto e parte dall’analizzare la propria azienda od organizzazione, dal capire come veramente, nella quotidianità delle procedure operative, le persone lavorano con i dati.
Vediamo di capire meglio questo con alcuni esempi.
Nell’ufficio personale di un’azienda uno degli impiegati lascia le stampe di CV ricevuti da candidati per un’assunzione sulla scrivania al termine dell’orario lavorativo. La notte, qualcuno che ha accesso legale ai locali, per esempio un addetto alle pulizie, vede tali CV, ne fotografa uno con il cellulare (per qualsiasi motivo, magari perché la candidata è una bella ragazza) e poi posta la foto ad un amico. Questo è un accesso non autorizzato ai dati, peggiorato dal fatto che i dati vengono diffusi in rete. E’ una violazione del GDPR con tutte le conseguenze del caso. Ed è estremamente difficile capire chi è il colpevole. Quale è la soluzione per prevenire tale crimine? Avere una procedura rigorosa e condivisa fra tutti gli impiegati che prevede che i CV devono essere riposti sotto chiave al termine dell’orario di lavoro. E questo comporta che si sappia:
- quali processi prevedono il trattamento di documenti con dati personali come i CV
- chi li può trattare lecitamente per il suo ruolo aziendale,
- dove (in quale parte dell’azienda) li può trattare
- con che criteri e strumenti di sicurezza li deve proteggere quando non in uso
- che tutto questo sia scritto in modo chiaro in una procedura operativa
- che tutti gli impiegati siano adeguatamente formati per seguire questa procedura operativa
- che ci siano verifiche periodiche di tale procedura.
Un altro caso simile può essere un PC, contenente fogli excel con dati personali e la cui password sia, per esempio, nota a molti o, addirittura, scritta sotto la tastiera. Chiunque abbia accesso al locale dove si trova il PC in un momento in cui l’impiegato che lo usa non è presente può accedere a quei file e modificarli o anche solo copiarli senza fare alcun danno. In ogni caso c’è stata una violazione della privacy e del GDPR, con tutte le conseguenze del caso.
Inoltre, un incidente di sicurezza informatica come, per esempio, un virus cripto-locker come wannacry è una violazione del GDPR se impedisce l’uso di quei dati bloccando il servizio per cui sono stati forniti. E, oltre al danno diretto, c’è il danno di immagine per la necessità della comunicazione al Garante e le potenziali cause che gli interessati possono poi fare all’azienda. E il successivo fatto di dover dimostrare che si erano prese tutte le opportune misure per minimizzare il rischio che il virus arrivasse, pena una sanzione per non conformità.
Per dare un senso alla implementazione della conformità al GDPR occorre vederlo, come già stanno facendo tante aziende ed organizzazioni, come una occasione per misurarsi, per conoscere meglio il proprio lavoro quotidiano, misurare il rischio che i dati personali in esso corrono e applicare i miglioramenti al lavoro stesso. E questo può produrre valore per il business in quanto:
- si conosce meglio come si lavora e si può studiare come lavorare meglio
- il fatto di essere conformi al GDPR è un merito che mantiene clienti;
- i dati sottoposti a particolari trattamenti protettivi come la pseudonimizzazione possono essere patrimonializzati ed assumere valore monetario e indiretto, per il ruolo che rivestono entro i processi.
Il processo di adeguamento al GDPR è qualcosa che non riguarda solo l’IT, o l’ufficio compliance e/o qualità, o le risorse umane, ma è qualcosa che taglia trasversalmente tutte le divisioni di un’azienda. Riguarda tutta l’azienda e va affrontato col coinvolgimento operativo dei responsabili di divisione o di loro rappresentanti, in sostanza di qualcuno che conosce come le persone lavorano nel trattare i dati personali entro i vari processi e le varie divisioni in azienda.
In sostanza quindi il processo di adeguamento si può dividere in questo modo:
- Analisi dell’AS-IS, per capire quali sono i trattamenti, come vengono eseguiti e quanto sono conformi al GDPR;
- Analisi del TO-BE, ossia di come dovrebbero essere i trattamenti per essere conformi al GDPR
- Definizione del GAP, ossia della distanza fra i due
- Definizione degli interventi necessari per colmare il GAP
- Pianificazione degli interventi
- Realizzazione degli interventi
- Verifica del successo degli interventi
E al termine di tutto:
- Implementazione di un processo di mantenimento della conformità con le opportune verifiche e azioni di miglioramento
Quindi, riassumendo, l’adozione del GDPR prevede azioni legali, organizzative, tecniche, formative e di verifica. Uno sforzo, da usarsi per migliorare il proprio modo di lavorare.
L’adattamento è un piano di change, da affrontare in modo multidisciplinare, da gestire con un buon project management, da rendere operativo nel tempo con un insieme appropriato di procedure e verifiche. Per produrre valore di business per l’azienda.