Il 25 maggio entrerà in vigore la nuova normativa europea chiamata General Data Protection Regulation, che sostituirà tutte le regolamentazioni attualmente in vigore nei diversi Paesi della EU. Il GDPR permetterà una standardizzazione e un'armonizzazione di tutte le leggi a tutela dei dati dei singoli cittadini che vengono trattati ogni giorno dai Brand. In cosa consiste e come farsi trovare preparati?
2. 1. Cos’è?
2. Quando entra in vigore e a chi è rivolto?
3. E’ davvero importante?
4. I principi
5. Privacy by design e Privacy by default
6. Da dove comincio?
7. Il processo di adeguamento
8. Produzione di documentazione
9. Registro dei trattamenti
10. DPO
11. Data Breach, notification in 72h
12. E per l’utente cosa cambia?
13. Conclusione
Agenda
4. Il GDPR è un regolamento europeo che sostituisce tutte
le regolamentazioni dei vari paesi e serve a
standardizzare e armonizzare le varie leggi a tutela dei
dati dei singoli cittadini europei trattati dalle aziende.
6. E’ già entrato in vigore e a partire dal 25 maggio del
2018 le aziende sono chiamate ad essere compliant a
questo REGOLAMENTO EUROPEO (679 del 2016).
Tutte le aziende che trattano dati personali di cittadini
residenti nell’Unione Europea sono tenute a rispettare
tale regolamento (indipendentemente dalla loro
posizione geografica, potrebbero ad esempio essere
aziende americane).
8. E’ un regolamento europeo (non una semplice direttiva)
e non necessita nessuna azione di recepimento dai
singoli paesi.
Le multe sono salate: fino a 20 milioni e il 4% del
fatturato e la legge non ammette ignoranza, quindi a
questo giro non si scherza...
10. 1) Il trattamento dei dati deve essere sempre corretto, lecito e
trasparente
2) Gli scopi del trattamento dei dati devono sempre essere
determinati, legittimi ed espliciti
3) I dati devono sempre essere ridotti al minimo: vanno
raccolti solo i dati necessari, limitati alle persone realmente
interessate e solo quando strettamente necessario
4) I dati devono sempre essere aggiornati, cancellati se non
necessari, e precisi
5) La sicurezza dei dati va posta al primo posto: protezione
tramite misure tecniche e organizzative dalla perdita, dal
danno e dalla pubblicazione accidentale o da trattamenti
illeciti e/o non autorizzati
12. Progettare e non correre ai ripari solo dopo che ci sono
state violazioni. Questo si intende con privacy by design,
mentre con privacy by default si intende che si devono
trattare (di default appunto) solo i dati minimi
indispensabili, solo per le finalità previste e per il periodo
strettamente sufficiente al completamento delle finalità
previste.
17. Una volta mappata l’attuale situazione serve pianificare e
attuare un piano di adeguamento aziendale che preveda:
- Individuazione dei ruoli, delle competenze e delle responsabilità dei
soggetti che effettuano il trattamento
- Definizione delle politiche di sicurezza (es pseudonimizzazione, cifratura,
anonimizzazione) a valle della valutazione dei rischi e della sostenibilità di
tali politiche nel tempo
- Definizione del registro dei trattamenti
- Definizione del processo di Data Breach
- Definizione dei processi per l’esercizio dei diritti dell’interessato
- Definizione delle informative, moduli di consenso e clausole contrattuali
- Definizione degli audit periodici (penetration test, backup restore,
disaster recovery)
19. Tutte le operazioni eseguite devono essere documentate,
a tutela di un eventuale controllo spontaneo o successivo
ad una violazione avvenuta (accountability):
- documento che evidenzia la struttura organizzativa (titolare,
responsabile del trattamento, eventuale DPO)
- documento che descrive le politiche di sicurezza che si intendono
implementare e la relativa valutazione dei rischi che motiva tale
scelte
- il registro dei trattamenti
- documento che spiega il processo di data breach che si intende
implementare
- documento che racconta il processo per l’esercizio dei diritti
dell’interessato
- informative, moduli di consenso, clausole contrattuali
- report degli internal audit periodici
21. E’ il documento volto a tenere traccia dei trattamenti effettuati da parte
del titolare e degli eventuali responsabili, e contenente, tra gli altri, le
finalità del trattamento, una descrizione delle categorie di interessati e
dei dati personali, il periodo di trattamento, i destinatari, gli eventuali
trasferimenti verso Paesi terzi e una descrizione generale delle misure di
sicurezza.
E’ obbligatorio per le aziende che hanno un numero di dipendenti
maggiore di 250.
Andando a fondo nella lettura del regolamento si percepisce che il
documento è comunque obbligatorio se il trattamento presenta dei
rischi per i diritti e la libertà degli interessati, o comunque se vengono
trattati dati particolari come quelli sanitari, biometrici, etc...
23. E’ la figura la cui responsabilità principale è quella di
osservare, valutare e organizzare la gestione del
trattamento di dati personali (e dunque la loro protezione)
all’interno di un’azienda, affinché questi siano trattati nel
rispetto delle normative privacy europee e nazionali.
E’ obbligatorio in alcuni casi e il regolamento parla di
pubblica amministrazione e di gestione di dati su larga
scala, anche se non è ben specificato cosa si intenda.
25. Una volta che ci si è assicurati di aver impostato tutte le
procedure idonee ad individuare le eventuali violazioni,
qualora queste si dovessero comunque verificare, serve
individuare le cause delle stesse, le conseguenze relative
e generare la adeguata reportistica, comunicando entro
72h dall’accadimento il resoconto agli interessati (utenti
coinvolti).
27. L’utente residente in europa, che vede i suoi dati trattati
da qualche azienda, deve sempre sapere esattamente
quali sono nel dettaglio, con precisione e a che scopo, in
maniera del tutto trasparente e dettagliata.
Deve avere chiare anche le procedure per poter
esercitare il diritto di modifica su tali dati e la relativa
cancellazione.
29. Da quanto si evince non esiste una chiara indicazione
delle procedure da attuare, ma esistono delle linee guida.
Per questo la cosa più importante è poter dimostrare in
qualsiasi momento per iscritto (accountability) che ci si
prende cura dei dati degli utenti nel miglior modo
possibile, seguendo tutte le procedure nel modo
corretto.
E’ condannata l’inattività e la palese negligenza.