Parlare di GDPR privacy significa focalizzarsi sugli aspetti normativi, ma anche su differenti attività pratiche e migliorie tecniche da mettere in atto per essere compliant.
La norma, varata il 27 aprile 2016, ha previsto un periodo di adeguamento di due anni e sarà attiva dal 25 maggio 2018. Trattandosi di una direttiva non richiede alcuna forma di legislazione applicativa da parte degli stati membri. Nonostante questo, le singole leggi nazionali vigenti rimarranno valide, saranno verosimilmente integrate.
Di General Data Protection Regulation se ne è parlato, forse, fin troppo. Spesso però si perdono di vista i capisaldi principali, le motivazioni di base, gli obblighi e le opportunità messe a disposizione delle imprese che operano in Ue.
Di fatto, il GDPR impone alle aziende requisiti e obblighi, molte realtà dovranno rivedere o modificare la gestione dei dati, con un’attenzione particolare sulla sicurezza del processo. Tuttavia, ridurre la norma solamente a “obblighi e doveri” potrebbe essere riduttivo. Come ripetono da tempo tutti gli esperti del settore, il GDPR privacy non è soltanto un vincolo, ma può rappresentare una valida possibilità per introdurre in azienda strumenti e processi per una vera innovazione.
I numerosi appuntamenti per le imprese e gli esperti di settore hanno messo a fuoco le differenti sfaccettature della norma, diventando a tutti gli effetti un utile ripasso delle priorità e dei punti fermi imposti dal GDPR privacy.
Sia a livello giuridico, sia a livello tecnologico, la normativa deve essere interpretata come un’opportunità di aggiornare meccanismi di lavoro e gestione del dato che ormai sono obsoleti. Seguendo quanto prescritto è infatti possibile ricostruire il percorso che i dati compiono all’interno dell’azienda, capire il ciclo di vita degli asset e valorizzare i dati stessi, abbattendo le attuali strutture a silos. Uno degli spetti fondamentali sono le norme sulla protezione dei dati delle persone fisiche e sul trattamento dei dati personali.
Di fatto, il GDPR introduce concetti generali e linee guida approvate dal gruppo dei garanti europei, senza che esse vadano a sostituire in toto la legislazione attuale.
Il pacchetto raccoglie dunque un sistema di norme non più limitate ai singoli stati, ma globali e va a protegge per primi i cittadini, sia dall’invadenza dello stato e sia dalle imprese che trattano i dati personali.
Queste norme si adeguano alle tecnologie moderne e risolvono problemi di frammentazione nelle legislazioni nazionale, di evoluzione tecnologica e obsolescenza e di inadeguatezza delle sanzioni.
Si ha dunque una nuova classificazione dei dati personali, quelli che riguardano direttamente o indirettamente una persona fisica, come per esempio un numero identificativo (vedi codice fiscale, codice bancario). Le categorie particolari includono i dati sensibili come: l’origine etnica, la religione, gli aspetti filosofici e lo stato di salute (in questo contesto l’età e il patrimonio economico non sono considerati dati sensibili).
Tra le nuove categorie rientrano i dati biometrici, che specificano caratteristiche fisiche e fisiologiche, e possono essere statici o dinamici, come l’impronta digitale o l’iride, la firma o la camminata di un soggetto.
In questo senso i parametri previsti dal GDPR si applicano ai dati delle persone in azienda e ai clienti della stessa.
Particolarmente importante il concetto di “Accountability”, il principio di responsabilizzazione e documentazione. Fissa alcuni principi base e lascia all’azienda gli strumenti per la protezione e la gestione delle responsabilità. In questo ambito gli aspetto di processo diventano fondamentali. La documentazione delle attività è fondamentale.
Esistono dunque ruoli specifici, a partire dal Responsabile del Trattamento, i trattamenti del Responsabile sono disciplinati da un contratto o altro atto giuridico. Questa figura è responsabile dell’attuazione delle misure di sicurezza e non ricorre ad altro Responsabile senza previa autorizzazione del Titolare. Non solo, è responsabile della compliance normativa per il trasferimento dati.
Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer.
Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo.
Ha un ruolo di indirizzo e controllo e Fornisce consulenza al Titolare e al Responsabile, sorveglia l’osservanza del Regolamento e fornisce un parere sul Privacy Impact Assessment.
Per raggiungere la compliance è dunque necessario ripensare i processi secondo un Risk-based approach, effettuando la mappatura dei dati personali e delle tipologie di trattamento.
Entro il 25 maggio è necessario istituire il registro dei trattamenti, verificare informative e consensi, abilitare processi di risk assessment, verificare che le misure di sicurezza messe in atto siano adeguate.
È inoltre importante definire una governance per la privacy che interessi il Titolare, i Responsabili del trattamento e il Data Protection Officer. Come prescritto dalla norma, alle società è richiesta la redazione di un piano per la corretta gestione del rischio cyber ed un corretto processo di protezione dei dati utilizzati. Ciò comporta la messa in pratica, da parte delle organizzazioni, di un piano strategico di cyber security che vada a mettere in sicurezza tutti i vari livelli dell’organizzazione attraverso l’adozione di tecnologie e processi avanzati adeguati al grado di rischio di Data Breach e conformi ai principi generali sanciti dal regolamento; in primis quello di accountability e di data protection by default e by design.
Per chi sviluppa da zero una infrastruttura, ma anche e soprattutto per le attività già in essere, è essenziale progettare seguendo i canoni “Privacy By Design” e “Privacy By Default”. La Privacy è, di fatto, il fulcro della norma e il sistema che sta per entrare in vigore nasce per proteggere i diritti fondamentali dei cittadini.
Il cittadino interessato deve infatti poter esercitare senza vincoli una serie di attività sui propri dati immagazzinati presso l’azienda. Deve essere possibile accedere ai dati, così come deve essere consentita la rettifica, l’opposizione, la sospensione e il diritto all’oblio.
Oltre alle attività e agli adempimenti richiesti a livello organizzativo, il GDPR privacy impone la Data Breach Notification, una procedura che scatta entro le 72 ore da un cyberattacco e dalla conseguente perdita di dati. La comunicazione al garante deve avvenire corredata di informazioni dettagliate che contengano le misure di protezione messe in atto. Prima che ciò avvenga è importante effettuare il Privacy impact assessment, una valutazione di impatto privacy per un successivo invio al garante.
In caso di esfiltrazione o perdita dei dati gli interessati dovranno essere informati, l’azienda incorrerà in penali e sanzioni commisurate al danno arrecato.
In ambito PA si passa dai 10 ai 20 mln di euro, mentre per le imprese si considera un range dal 2% e il 4% del fatturato mondiale annuo del Gruppo.
Ma bisogna guardare oltre la possibile “multa”. Oltre all’onere sanzionatorio, la vera perdita per le aziende è subire un attacco informatico.
A poche settimane dall’attuazione della norma, quasi il 75% delle aziende italiane sembra aver creato una procedura per notificare le violazioni di dati, ma solo il 49% ha aumentato gli investimenti in IT Security. Tra le sfide maggiori per riuscire a essere compliance al nuovo regolamento europeo, le aziende lamentano infatti la presenza di troppi sistemi IT legacy (30%), la mancanza di una data security efficiente (29%) e l’assenza di processi formali che rendano possibile identificare chiaramente a chi appartengono e dove sono custoditi i dati (28%).
Molte aziende non sono preparate a gestire la notifica di avvenuta violazione entro 72 ore. Il 20% ha infatti affermato di avere dei processi formali per notificare la violazione, ma solo alle autorità competenti. E l’Articolo 34 del GDPR afferma che anche gli individui devono essere avvisati, poiché una violazione di dati mette a rischio i loro diritti e la loro libertà.
Ci sono dei dubbi anche sul diritto all’oblio, una parte chiave del GDPR privacy. Nonostante l’87% dichiari di avere un processo per supportare i clienti nel caso i dati siano gestiti dall’azienda, ci sono dei limiti quando vengono coinvolti i fornitori. 1 azienda su 5, infatti, non ha o non è a conoscenza dei processi per gestire in maniera corretta il diritto all’oblio, nel caso di dati gestiti da agenzie (21%), cloud provider (32%) e partner (19%).
Le minacce sono sempre più complesse e il GDPR privacy complica ulteriormente la vita delle aziende, che rischiano ingenti multe. È necessaria una tecnologia che protegga i dati su più livelli. Il GDPR privacy afferma che le aziende devono implementare le tecnologie di ultima generazione in relazione al rischio che si corre. Nonostante questo, solo il 34% delle aziende ha implementato soluzioni avanzate per identificare le intrusioni, solo il 33% ha investito nella prevenzione delle perdite di dati e solo il 31% ha adottato tecnologie di crittografia.
Nel corso degli ultimi anni numerose tecnologie cosiddette “dirompenti” hanno spinto le aziende a cambiare e innovare il modo tradizionale di fare business. IoT, AI, Big Data e molte altre tematiche sono talmente nuovo da non essere neppure normate, in alcuni casi e, proprio qui, entra in gioco il GDPR.
La norma europea ha svelato l’arretratezza delle imprese, ad oggi una discreta percentuale delle società deve ancora capire come orientarsi. Sono assenti modelli di governo della privacy, mancano ruoli e responsabilità definite, esiste una mancata definizione dei tempi di retention per i dati personali e sono totalmente assenti processi di gestione dei data breach.
In questo contesto è però positivo notare come la spesa media in security stia nuovamente tornando a crescere. Se, da un lato, gli aspetti legati alla privacy impongono una responsabilizzazione e l’attenzione al percorso dei dati, esistono anche aspetti tecnici da rispettare, altri invece sono discrezionali.
Serve infatti rivedere i processi di sicurezza, da quella fisica, a quella dei sistemi (ridondanza e resilienza), abilitando il monitoraggio proattivo, ma anche piattaforme per la cifratura dati e la pseudonimizzazione dei dati.
In funzione delle attività di una data azienda cliente e del settore di riferimento, esistono oggi soluzioni end-to-end per soddisfare la compliance GDPR privacy. Si tratta di piattaforme “cross industry” e capaci di lavorare con architetture eterogenee.
Specifici pacchetti sono dedicati alle attività di governance, risk e compliance. In questo caso l’obiettivo è il rispetto della data privacy con un approccio basato sul rischio. In questo modo è possibile gestire e mitigare i rischi, ma anche seguire i processi di riconoscimento del dato attivo, la cancellazione per il diritto all’oblio e l’archiviazione per soddisfare requisiti di retention.
Per la gestione della fase di documentazione dei processi sono invece disponibili specifiche piattaforme per il controllo e archiviazione, capaci di orchestrare le attività di business e di diventare veri e propri repository centrali per la gestione della compliance. Così facendo, molti processi possono essere automatizzati tramite back-end, come per esempio i report automatici. Simili componenti consentono attività di Sign off, certificazione e monitoraggio e di gestire una serie di regolamenti, anche multi-compliance, rispondendo direttamente ai concetti di accountability e responsabilità.
Nel percorso di validazione relativamente agli accessi degli utenti è inoltre possibile contare su piattaforme ad hoc, deputate all’elaborazione delle analisi di rischio, alla gestione degli accessi e alla certificazione delle autorizzazioni, ma non solo. Tali sistemi incorporano sovente componenti per distribuire l’accountability all’interno dell’azienda, secondo un percorso che prevede il recepimento di specifiche richieste, la relativa analisi e l’assegnazione di controllo di mitigazione e approvazione.
Dato che la protezione del dato e tutti i principi si qui espressi sono validi per la grande enterprise, così come per le PMI, sul mercato sono oggi presenti anche soluzioni per differenti fasce d’utenza.
Tra questi esistono tool digitali cloud-based che si adattano alle esigenze di studi di commercialisti, aziende, professionisti, studi medici, consulenti privacy e Data Protection Officer (DPO).
Si tratta di strumenti indicati anche per i consulenti privacy e Data Protection Officers che hanno la possibilità di condividere lo stesso ambiente di lavoro con studi e aziende clienti, per l’inserimento congiunto dei dati e il controllo.
In molti casi sono presenti procedure guidate in grado di velocizzare e semplificare la creazione e la stampa di tutti i documenti richiesti dalla normativa.
Processi che supportano realmente i responsabili della protezione dei dati (DPO) nel compito di rispettare il principio di trasparenza (accountability), documentando le scelte di compliance alla Privacy e gestendo in maniera integrata l’analisi dei trattamenti, l’analisi dei rischi con librerie di minacce e contromisure precaricate, la gestione delle valutazioni d’impatto (Data Protection Impact Assessment – DPIA), e altro ancora.