GARANTE EUROPEO DELLA PROTEZIONE DEI DATI: PRIMO REPORT ANNUALE DALL’INTRODUZIONE DEL GDPR

Dal sito ufficiale del EUROPEAN DATA PROTECTION SUPERVISOR

Il 2018 è stato un anno intenso per EDPS  e un anno cruciale per la protezione dei dati in generale. In base alle nuove norme sulla protezione dei dati , i diritti di ogni individuo che vive nell’UE sono ora protetti meglio che mai, ha affermato oggi il garante europeo della protezione dei dati (GEPD), presentando la sua relazione annuale 2018 alla commissione per le libertà civili, la giustizia del Parlamento europeo e affari interni (LIBE).

Giovanni Buttarelli, EDPS , ha dichiarato: ” La protezione dei dati ha toccato i titoli nel 2018. La consapevolezza pubblica sul valore della privacy online è sempre al massimo, mentre la preoccupazione per l’ abuso di dati personali da parte dei fornitori di servizi online rimane un argomento di indagine per i governi Intorno al mondo. Nell’UE, le nuove norme sulla protezione dei dati sono molto importanti per affrontare le preoccupazioni, ma ne è necessario altro. L’accordo su un nuovo regolamento e-privacyè urgente, ma nel mondo digitale dobbiamo anche guardare oltre le regole e i regolamenti. Attraverso iniziative incentrate sull’etica digitale e una maggiore cooperazione normativail EDPS  è determinato a svolgere un ruolo decisivo nel plasmare il futuro digitale nell’UE e altrove. 

La relazione annuale 2018 fornisce una panoramica di tutte le attività del GEPD nel 2018. Tra questi, i principali sono stati i nostri sforzi per preparare la nuova legislazione. Il regolamento generale sulla protezione dei dati (GDPR) è diventato pienamente applicabile in tutta l’UE il 25 maggio 2018 e ora sono in vigore anche nuove norme sulla protezione dei dati per le istituzioni dell’UE . Lavorando con il nuovo Consiglio europeo per la protezione dei dati (EDPB), il EDPS  mira a garantire una protezione coerente dei diritti delle persone, ovunque vivano nell’UE.

Per effettuare il download in ITALIANO della relazione del Garante Europeo Dott. Buttarelli, clicca qui

Per effettuare il download in inglese della relazione del Garante Europeo Dott. Buttarelli, clicca qui

Per continuare con la lettura dell’articolo, clicca qui.

Read More

GDPR: attenti a… quei tre (articoli)!

D: “Hai predisposto il registro dei trattamenti?”

R: “Sì certo, non ho avuto particolari difficoltà; su internet si trovano, facilmente, alcun facsimile… basta scaricarli, confrontarli, adattarli alla meno peggio al tipo di attività e il gioco è fatto! In fin dei conti, facevo così anche per il documento programmatico sulla sicurezza, fino a quando era prevista la sua obbligatorietà. Tanto, i controlli non ci saranno e, se ci saranno, perché dovrebbero controllare proprio me e, anche se dovessero venire da me, non avrei comunque problemi: ho l’informativa, il registro dei trattamenti ed ho fatto aggiornare antivirus e firewall al portatile che porto sempre con me, per cui non ho neanche bisogno di fare il backup; ho sentito ad un convegno che non ho bisogno di altro per essere in regola con il GDPR”.

Sono consapevole del fatto che pochi crederanno che il dialogo sopra trascritto sia effettivamente intercorso tra chi scrive e una persona (professionista? Imprenditore?) del quale, ovviamente, non posso fare il nome, ma chi, come me, si occupa di protezione dei dati in maniera consapevole e professionale, credo abbia modo di identificarsi nel mio stato d’animo e di provare, da una parte, la stessa sensazione di stupore da me percepita e, dall’altra, di giungere alla medesima conclusione: neanche il GDPR sarà in grado aumentare il livello di responsabilizzazione di coloro che trattano i dati delle persone fisiche nell’espletamento dell’attività professionale o imprenditoriale!

Nel premettere che, di quanto contenuto nel dialogo, diverse, in negativo, sono le riflessioni da fare e altrettanto palesi sono le inesattezze e quindi le violazioni delle più comuni e elementari regole del GDPR e di accountability, credo sia opportuno mettere in evidenza soprattutto i rischi che potrebbero derivare non solo dalla mancanza del registro dei trattamenti ma, pur in sua presenza, di una sua tenuta non corretta, e ciò in relazione alle informazioni in esso contenute.

Mi spiego meglio.

In caso di violazione degli obblighi imposti dall’articolo 30 GDPR da parte del titolare del trattamento o del responsabile del trattamento è prevista la sanzione pecuniaria fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, lettera a) GDPR).

L’articolo 166, comma 3, del D.Lgs. 196/2003 (come integrato con le modifiche introdotte dal D. Lgs. 101/2018) dispone che l’organo competente ad irrogare le sanzioni sopra citate è il Garante per la protezione dei dati personali il quale, nello svolgimento di tale funzione dovrà avere cura di valutare, caso per caso, le violazioni, affinché le sanzioni siano effettive, proporzionate e dissuasive come disposto dall’art. 83, par. 1, GDPR, tenendo in considerazione le circostanze di cui all’art. 83, par. 2, GDPR, ossia la natura, l’oggetto o la finalità del trattamento, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, e altro.

In applicazione di tale norma, il Garante dovrà quindi trovare la sanzione più idonea affinché la stessa da una parte sia proporzionata alla violazione e, dall’altra in grado di dissuadere il suo autore dal ripetere quel comportamento (anche omissivo).

Ma, per ipotesi di scuola, immaginiamo che nel registro dei trattamenti siano contenuti riferimenti, notizie o circostanze non veritiere e quindi contrastanti con l’effettiva e reale situazione presente nella struttura nella quale opera il titolare del trattamento o il responsabile del trattamento e avviene, quindi, il trattamento dei dati; in tale ipotesi, la violazione degli obblighi imposti dall’articolo 30 GDPR, oltre a configurare le conseguenze dettate dall’art. 83, par. 4, lettera a), GDPR) sarebbe altresì idonea a configurare, in capo al titolare del trattamento o al responsabile del trattamento, la violazione e le conseguenze previste dall’art. 168 comma 1 del D.Lgs. 196/2003? Prima di rispondere al quesito, è opportuno analizzare la norma appena citata.

Decreto Legislativo 196/2003
Art. 168
  1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
  2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

Dalla lettura della norma, appare evidente come la risposta alla domanda sopra formulata non possa che essere positiva, posto che il registro dei trattamenti deve contenere una serie di dati, indicazioni, notizie e circostanze che hanno la duplice funzione di rappresentare e dare conto, da una parte, di quel processo di mappatura che il titolare del trattamento e il responsabile del trattamento devono espletare per verificare e identificare e censire la tipologia specifica dei dati trattati e, dall’altra, nel rispetto del concetto di privacy by design e di accountability, creare la documentazione necessaria come richiesta dal GDPR e, soprattutto ma non solo, riportare, per ogni specifica categoria di dati trattati, le misure di sicurezza applicate per la protezione dei dati.

Attenzione quindi perché se è vero che:

1) quanto alle sanzioni amministrative, l’articolo 22, comma 13 del D.Lgs. 101/2018 prevede che per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie (termine che andrà ad esaurirsi nella seconda decade del mese di maggio 2019), è altrettanto vero che

2) quanto alle violazioni penali eventualmente riscontrate, comprese quelle conseguenti al verificarsi della fattispecie prevista dall’art. 168, comma 1, D.Lgs. 196/2003 non esiste norma che possa attenuarne o affievolirne gli effetti.

In conclusione, si invitano i destinatari del GDPR a fare attenzione, tra le altre, alle norme previste dall’art. 30 GDPR, dall’art. 22, comma 13, D. Lgs. 101/2018 e dall’art. 168 D.Lgs. 196/2003.

(articolo realizzato dal Team IUSTEC)

 

Read More

Privacy e GDPR?

UNA GUIDA PER CAPIRE COSA FARE

Il Regolamento GDPR non prevede la compilazione di modelli, dichiarazioni, schemi fissi predefiniti. Questo può costituire una difficoltà per le imprese, in quanto mancano punti di riferimento che aiutino ad orientarsi, a comprendere cosa occorre fare per “essere in regola”.

Il servizio ZGDPR fornisce , anzitutto,  un “navigatore”, una mappa che guida l’impresa nelle varie tappe che la porteranno all’obiettivo finale.

UNO STRUMENTO PER FARLO NEL MODO PIU’ SEMPLICE

E’ così possibile individuare tutti gli elementi informativi necessari:

  • persone dell’azienda o collaboratori esterni coinvolti;
  • strutture fisiche (locali);
  • software e strumenti utilizzati

Per i diversi tipi di documenti previsti dal GDPR (informative, consensi, incarichi…) esistono template precaricati, che sarà sempre comunque possibile personalizzare con la stessa semplicità di una videoscrittura.

ZGDPR è la soluzione Cloud che ti guida e supporta in ogni momento nella gestione degli adempimenti richiesti dal nuovo GDPR.

VAI AI DETTAGLI

Read More

Come iniziare il processo per l’adeguamento al GDPR

Essere in linea con le richieste del GDPR e garantire il soddisfacimento dei diritti alla protezione del dato personale (link ad altro articolo) richiede un processo di adeguamento strutturato.

Da cosa iniziare?

Non basta adottare misure genericamente intese a proteggere le reti informatiche e a salvaguardare la correttezza degli interventi del personale sui dati, come accadeva in passato.

Una componente fondamentale del GDPR, infatti, è il principio che prevede la cosidetta “privacy by design”, ovvero un livello di protezione dei dati che viene garantito sin dalla protezione del modo con cui i dati stessi sono stoccati e trattati.

Sarà quindi necessario che ogni funzione aziendale si soffermi ad analizzare sul come vengono raccolti i dati nei diversi processi che la riguardano.

In linea generale le fasi da affrontare per iniziare il processo di adeguamento al GDPR si possono elencare in questo modo.

  1. Informarsi adeguatamente circa il contenuto del GDPR,
  2. Effettuare una comunicazione aziendale che consenta di informare i responsabili toccati dal processo,
  3. Raccogliere informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli,
  4. Analizzare il rischio connesso alla protezione dei dati,
  5. Determinare quali dati si intendano mantenere,
  6. Identificare e mettere in atto le contromisure di sicurezza necessarie,
  7. Disegnare i nuovi processi di gestione del dato e adottare gli strumenti necessari per la loro gestione,
  8. Stabilire le procedure di mantenimento della situazione di adeguamento.

Questi i passi strettamente necessari per una procedura minima di adeguamento.

E’ da intendersi che il disegno dei processi di gestione avrà riguardo non solo alle procedure di tipo tecnico / informatico. L’impatto del GDPR, infatti, rileva dal punto di vista di tutti i punti di contatto con i dati personali. Pertanto saranno da analizzare tutti i processi aziendali per disegnare le nuove attività con riguardo alle attività di:

  • Selezione e gestione del Personale
  • Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …),
  • Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti,
  • Produzione, che comprende processi in cui gli operatori agiscono con il loro nome in azienda e al di fuori,
  • Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.
Read More

Rapporto CLUSIT 2018

(fonte: clusit.it)

La stima dei danni globali causati dal fenomeno ammontano a circa 500 miliardi di dollari. Si tratta di un vero e proprio “salto quantico”.

Mentre scrivo queste righe si sta votando in Italia. Si tratta di elezioni politiche di grande importanza cadute in un momento di attenzione mediatica spasmodica sul fenomeno cybercrime e di grandi investimenti in sicurezza per- lomeno sul fronte delle aziende grandi e grandissime per via dei progetti di adeguamento al GDPR. Tuttavia, nonostante questa “tenaglia” mediatico/normativa che ben difficilmente si ripresenterà nel breve periodo, la campagna elettorale non ha tenuto in nessuna conside- razione il tema della sicurezza informatica e della necessità di aumento dell’attenzione dei cittadini, della pubblica amministrazione e delle imprese su questo fenomeno.

In termini numerici, nel Report leggerete che si è assistito ad una crescita del 240% degli attacchi informatici rispetto al 2011, anno a cui risale la prima edizione del Rapporto Clu- sit, e del 7% rispetto al 2016. Ma non è tanto il dato numerico a spaventare quanto invece l’elemento qualitativo sottostante: oggi il fenomeno mira a interferire in maniera pesante non solo nella vita privata dei cittadini (peraltro vittime nel 2017 di crimini estorsivi su larghissima scala) quanto invece sul piano finanziario e geopolitico. Insomma, il gioco si fa serio e un altro innalzamento del livello potrebbe non essere sop- portabile.

Alcuni dati: il Rapporto Clusit 2018 sottolinea come il Cybercrime (la cui finalità ultima è sottrarre informazioni, denaro, o entrambi), è sempre la prima causa di attacchi gravi a livello mondiale (76% degli attacchi complessivi, in crescita del 14% rispetto al 2016). Inoltre, sono in forte aumento rispetto gli attacchi compiuti con finalità di Information Warfare con un preoccupante +24% rispetto al 2016 ed ancora il Cyber Espionage (lo spio- naggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale) cresce del 46% rispetto al precedente periodo di osservazione. Il dato più interessante di tutti, e più preoccupante, è però quello relativo ai costi generati globalmente dalle sole attività del Cybercrime: dal Rapporto Clusit 2018 emerge infatti che sono quintuplicati per un importo complessivo, come già scritto a inizio prefazione, di 500 miliardi di dollari nel 2017. Si deve considerare, nel calcolo, che nel corso del 2017 truffe, estorsioni, furti di denaro e di dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. E l’Italia come è messa in questo contesto? Sulla base delle cifre in gioco a livello globale noi stimiamo che l’Italia nel 2016 abbia subito danni derivanti da attività di cyber crimine per quasi 10 miliardi di euro. Non abbiamo dati più recenti e non interessa forse neanche sapere se la cifra sovra o sottostima i danni. L’ordine di grandezza è sintomatico di un problema più ampio perché comunque sia i danni appaiono essere 10 volte superiori alla stima degli investimenti in sicurezza risultate dalle ricerche dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano.

Come nelle precedenti edizioni, il Rapporto Clusit 2018 dedica nei cosiddetti “Focus On” approfondimenti a singoli settori e a problematiche particolarmente attuali in tema di si- curezza cyber, a firma di esperti autorevoli. Quest’anno sono in evidenza la Sicurezza Ma- rittima, l’Industria 4.0, il Cloud, la Mail Security, il Business Risk, le attività di Profiling, la diffusione delle criptovalute e la Blockchain, il Ransomware, la Gestione dei Fornitori.

Come già accaduto nei mesi precedenti al Rapporto Clusit 2017 l’attenzione mediatica sul tema è fortissima e si contano a centinaia se non a migliaia gli eventi che vengono organiz- zati in Italia e che ruotano attorno, in questo momento storico, alla sicurezza informatica e al GDPR. Per questo motivo ci aspettiamo che gli investimenti in sicurezza aumentino così come ci attendiamo che sempre più forte sarà la spinta verso la esternalizzazione con la finalità di aumentare la sicurezza delle imprese e pubbliche amministrazioni che non avranno mai la capacità economica di proteggersi adeguatamente.

Vi lascio quindi alla lettura del Rapporto Clusit 2018 che avete fra le mani, augurandomi ancora una volta che la nostra ricerca serva ad aumentare la consapevolezza della necessità di una maggiore e sempre più efficace cultura della sicurezza informatica.

Ringrazio tutti coloro che hanno dedicato tempo e sforzi alla stesura del Rapporto Clusit 2018 e mi auguro che le elezioni politiche ci consegnino un governo ancora più attento a questa tematica e che miri alla cultura della sicurezza informatica fin dai più giovani e che completi e renda attuabile un quadro di indirizzo e normativo che permetta di raggiungere gli importanti traguardi necessari per vincere una sfida difficilissima.

2.500 copie cartacee, oltre 70.000 copie in elettronico e più di 300 articoli pubblicati nel 2017, sono l’evidenza della rilevanza del rapporto CLUSIT ed è quindi importante diffon- derlo, leggerlo, farlo conoscere, perché solo dalla consapevolezza può derivare la conoscen- za del problema, la capacità di adottare scelte idonee e quindi la sicurezza nostra e di tutti.

Read More

Avvocati: una guida sulle regole deontologiche in materia di privacy

L’articolo è pubblicato nella sua versione integrale sul quotidiano online di informazione giuridica “ALTALEX”, diretto da Alessandro Buralli.

Il contenuto dell’articolo proposto da Altalex, nella rubrica settimanale Avvocato 4.0, è una guida agile e chiara per garantire la compliance dello studio legale non solo al Regolamento europeo per il trattamento dei dati personali ma anche alle nuove “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, appena pubblicate in Gazzetta Ufficiale.

Puoi continuare la lettura cliccando qui

Read More

GDPR in Gazzetta Ufficiale

Come noto, il GDPR è entrato in vigore il 25 Maggio scorso, ma si aspettava il decreto italiano per adeguare la normativa.

Il 4 Settembre 2018 è stato, dopo mesi di attesa, publicato sulla Gazzetta Ufficiale. Il decreto legislativo n.101 del 10 Agosto 2018 entrerà in vigore il 19 Settembre 2018.

Visualizza qui il Decreto

A questo punto, per le aziende è fondamentale adeguarsi rapidamente, e per aiutare le PMI, che ad oggi sembrano essere in ritardo, nel Decreto si chiede al Garante della Privacy di emanare delle linee guida ad hoc per loro. Nei prossimi mesi si prevedono numerosi interventi in relazione ai vari istituti previsti:

  • provvedimenti di misure di garanzia,
  • revisione dei codici deontologici,
  • nuove regole per l’applicazione di sanzioni amministrative,
  • semplificazione di adempimento degli obblighi delle PMI.

Tra le regole in arrivo se ne prevedono di specifiche nella ricerca e in ambito sanitario.

Read More

Come funziona l’Adeguamento

Il processo di adeguamento al GDPR non deve essere preso con fretta e approssimazione. E’ l’inizio di un lungo cammino durante il quale si ha la possibilità di ammirare un paesaggio sempre più gradevole.

Le diverse funzioni aziendali apprendono la disciplina della tutela del dato personale e vengono gradatamente condotte ad aumentare la sicurezza complessiva nella gestione del dato.

Il contesto legislativo ha portato infatti a mettere al centro del percorso di adeguamento la “auto-responsabilizzazione” dell’azienda, che si rende attiva nello sforzo di individuare le migliori misure comportamentali, organizzative e tecnologiche a garanzia della privacy interna ed esterna.

Il percorso stesso, dunque, deve essere svolto con la necessaria serenità e deve comprendere fasi dedicate a definire precisamente lo scenario.

L’individuazione degli attori coinvolti nell’adeguamento sarà il primo passo per poter ottenere una mappatura dei dati da sottoporre a tutela. Solo chi ha avuto bisogno di utilizzare delle banche dati saprà infatti identificarle e farne un inventario ragionato.

La realizzazione di un “funzionigramma” aziendale, o mappa organizzativa di come le diverse funzioni interagiscono con il dato, sarà quindi il punto successivo che condurrà a determinare quali trattamenti vengono svolti effettivamente in azienda e per conseguenza quale deve essere la consistenza del registro dei trattamenti stessi.

In altri termini, la realizzazione delle azioni di mitigazione del rischio verrà soltanto verso la fine del processo di adeguamento o almeno di una sua prima fase. Esattamente al contrario di quanto avveniva per assicurare la compliance con il vecchio Codice, in cui l’attività di gap analysis tecnologica e la messa a regime dei sistemi informativi avevano invece la precedenza.

Il processo di adeguamento deve per forza di cose essere guidato da un gruppo di lavoro che agisce con competenze interfunzionali e con la capacità di motivare i propri colleghi a restare attivi non solo durante la prima fase, che conduce alle azioni di mitigazione, ma anche negli infiniti periodi successivi durante i quali la compliance deve essere mantenuta e se possibile aumentata.

Il coinvolgimento di IUSTEC ha il senso di portare competenza su tutto il processo e di fornire servizi che accelerano la prima fase e consentono di gestire le fasi successive con professionalità, allo scopo di dare sostegno ad una vera politica della compliance basata in prima istanza sui benefici per il business oltre che sulle necessità di adempimento.

Read More