Follow us on other social networks.

  • Home
  • Blog Dynamic
  • Regolamento Privacy UE – pratiche corrette di adeguamento – Il Data Protection Office

Regolamento Privacy UE – pratiche corrette di adeguamento – Il Data Protection Office

Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede, non solo, implementazioni tecniche, ma modifiche organizzative: l'utilizzo di un approccio proattivo e predittivo. Il Data Protection Officer non può essere un consulente "una tantum" poiché deve ricoprire un ruolo stabile all'interno della struttura organizzativa al fine di prevenire le innumerevoli criticità.

Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede, non solo, implementazioni tecniche, ma modifiche organizzative: l'utilizzo di un approccio proattivo e predittivo. Il Data Protection Officer non può essere un consulente "una tantum" poiché deve ricoprire un ruolo stabile all'interno della struttura organizzativa al fine di prevenire le innumerevoli criticità

Il nuovo Regolamento UE sulla Protezione dei Dati personali è sicuramente innovativo ed in linea con le attuali esigenze di protezione delle informazioni. E' strutturato in modo tale da garantire coerenza, bilanciamento e controllo dei poteri degli stakeholders coinvolti. Mira a raggiungere, nel breve e medio periodo, degli obiettivi "difficili".

La maggior parte delle aziende pubbliche e private, ad oggi, non possiede le caratteristiche e le risorse per adeguarsi: molte problematiche sono rimaste irrisolte dall'entrata in vigore della Direttiva 95/46/EC.

Pochi soggetti, negli anni, hanno investito in una strategia mirata al raggiungimento degli obiettivi di sicurezza del dato, in quanto, la protezione delle informazioni, viene ancora considerata un problema esclusivamente informatico: la tematica viene esaminata solo a seguito di una problematica, a danno avvenuto.

Il drive principale delle aziende rimane il business: la sicurezza dei dati viene  spesso considerata solo un costo. E' anche per questo motivo che non vengono implementati piani di continuità,  disaster recovery, senza valutare poi la carenza di personale dedicato alla sicurezza informatica.

Il Regolamento Europeo Privacy prevede che business e protezione del dato procedano parallelamente, di pari passo, e infligge onerose sanzioni a chi non si adegua.

Nonostante ciò il Management di molti enti pubblici e soggetti privati è composto da strutture che non dialogano tra loro. La condivisione delle informazioni e l'approccio multidisciplinare, componenti indispensabili per una corretta applicazione di una information security governance, si scontrano con la "vecchia scuola" di pensiero.

Cambiare approccio alla Protezione dei dati.

Il nuovo Regolamento Privacy rappresenta il significativo cambiamento per le organizzazioni aziendali, processi, forma mentis. Esso stabilisce e prevede, non solo, implementazioni tecniche, ma modifiche organizzative.

Sebbene il grado di sensibilità e percezione delle problematiche privacy appaia aumentato negli anni, non si è riusciti a scalfire il "vecchio" modello organizzativo che, in mancanza di incisivi interventi, ha consolidato un approccio burocratico di privacy one time e "sulla carta", consolidando la percezione di “una legge sulla privacy”, a dispetto di “una cultura privacy”.

Cosa temere….

Facciamo un esempio pratico calandolo in uno degli ambiti più a rischio, per la protezione dei dati: quello della Sanità, pubblica o privata che sia.  Forse non tutti sanno che la criminalità informatica, tramite il mercato nero online, offre informazioni sanitarie ad un costo medio di 30€ a dossier. Il prezzo di vendita aumenta in base all’estrazione sociale dell’interessato e considerando la categoria dei dati presenti, più le eventuali possibilità di business illecito per l’acquirente. I rischi ed i costi del “bucare” il sistema informativo di un’azienda sanitaria pubblica sono molto più bassi rispetto a quelli relativi ad entrare abusivamente in un istituto di credito. Inoltre, a differenza del dato finanziario, la cui vita è molto breve – nel caso di una carta di credito clonata può essere al massimo di qualche giorno – sottrarre il dato sanitario è un ottimo investimento perché il tempo di vita delle informazioni è legato all’esistenza della persona, quindi risulta molto più lungo.

Considerato che un’organizzazione sanitaria gestisce dati di pazienti territoriali ed utenze “di passaggio”, nei database possono essere presenti informazioni di centinaia di migliaia di pazienti. Il valore del patrimonio informativo sanitario di 500.000 pazienti, per esempio, nel mercato nero online è stimato in 15 milioni di euro.

Favorire un maggiore coinvolgimento degli utenti

Uno dei problemi maggiori rimane legato al coinvolgimento ed aggiornamento degli stakeholders, spesso ancorati a pericolose correnti di pensiero che vedono nella privacy e nella sicurezza informatica una superflua "moda del momento".

Tutto il contesto lavorativo però presenta lacune: in primis i contratti ed i codici di comportamento aziendale, che devono essere adeguati con l'inserimento della data protection nei codici di condotta degli operatori, come ricordato dall' art. 88 – Trattamento dei dati nell’ambito dei rapporti di lavoro.

Il coinvolgimento  delle terze parti

L'impatto che le terze parti hanno sulla privacy e sulla data security è notevole e purtroppo preso poco in considerazione. Molti casi di data breach sono stati causati da comportamenti ripetitivi ed errati delle terze parti quali: la gestione delle password non corretta, la mancata applicazione delle patch di sicurezza ai sistemi, l'applicazione di aggiornamenti software senza un test di sicurezza preventivo, la mancanza di misure minime di sicurezza.

Nuove risorse e valutazione delle Responsabilità

Il Nuovo Regolamento si pone come obiettivo di allineare dal punto di vista  della data protection tutti i Paesi della Comunità Europea.

Abbiamo visto come l’applicazione di tale normativa comporti costi molto elevati, non sostenibili da tutte le aziende, ed infligga pesanti sanzioni a chi non ne esegua le direttive.

Risulta inoltre evidente come, anche da un punto di vista meramente economico, i Paesi della Comunità Europea stiano vivendo un periodo di forti cambiamenti che li pone su differenti livelli.

E’ palese che l'applicazione uniforme del Regolamento, allo stato attuale, sia quantomeno complicata.

Se le regole diventano più stringenti e anche gli adempimenti previsti dal nuovo regolamento europeo sono non poco complessi, di riflesso aziende e pubbliche amministrazioni necessitano sempre più di esperti

Nuove incombenze possono cambiare le modalità contrattuali.

Il Regolamento Europeo Privacy stabilisce che anche il Responsabile di Trattamento risponda in maniera diretta davanti alla legge per danni da lui provocati. Ciò è positivo dal punto di vista della responsabilità, perché il fornitore è chiamato a tenere un comportamento più idoneo, ma è svantaggioso dal punto di vista economico.

I fornitori di servizi informatici oggi sono inquadrati come Responsabili esterni di trattamento: saranno disposti ad assumersi a costo zero responsabilità ed eventuali sanzioni che a tal proposito si presentano come onerose ed a tratti pervicaci dal 25 maggio 2018, potranno infatti arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale le multe per le violazioni del regolamento Ue 2016/679, e a destare maggiore preoccupazione è il fatto che da una ricerca condotta dalla Compuware corporation su un campione di 400 chief information officer è emerso che solo il 28% delle grandi aziende italiane intervistate ha in atto un piano completo per garantire la conformità con il Gdpr (fonte Federprivacy).

Come già suggerito da autorevoli fonti, si dovranno rinegoziare tutti i contratti di fornitura e si dovrà ripartire diversamente la catena delle responsabilità, aggiungendo ulteriori costi ad ogni  trattamento.

Alcune possibili soluzioni

Per favorire una corretta relazione tra cittadino ed aziende pubbliche e private, sarebbe opportuno che gli Stati membri promuovessero un'intensa e capillare attività di sensibilizzazione in entrambe le direzioni.

Per quanto riguarda le aziende, ci si dovrebbe, sin da ora, dotare di una struttura interna di alto livello in grado di governare costantemente sicurezza informatica e privacy, al fine di definire strategie, politiche, percorsi di formazione del personale. 

Tali figure dovrebbero essere coinvolte in tutti i processi chiave dell’Azienda.

Il ruolo e la funzione del DPO

Secondo le best practices, in fase preliminare, il Titolare del Trattamento prende atto delle motivazioni e della fattibilità di adottare il DPO svolgendo un’analisi documentata in recepimento della normativa (GDPR Sez. 4, Art. 37-39) e delle linee guida Data Protection Working Party Article 29 – WP29 del 13/12/2016. Tale assessment dovrebbe evidenziare gli aspetti aziendali legati a tale ruolo, al fine di motivare la scelta dal punto di vista della mission e valutando eventuali responsabilità, conflitti di interesse, costi e benefici.

Dal punto di vista organizzativo, il DPO deve essere una figura di alto livello che può essere inquadrata nello staff del Titolare come dipendente dell’organizzazione; può anche essere rappresentata da una figura esterna regolarizzata tramite uno specifico contratto (WP29 Guidelines on Data Protection Officers, Art. 2.4). Non è un informatico, né un tecnico, ma un giurista specializzato nella tutela dei dati personali nel settore informatico. Definibile come un vero e proprio ibrido, il D.P.O. unisce competenze informatiche a quelle del diritto vigente, questa professionalità di assoluto rilievo viene chiamata in causa per svolgere molteplici funzioni (GDPR, Art. 39):

  • informare ed avvisare gli attori che svolgono il trattamento (Titolare, Responsabile di Trattamento ed incaricati) dei loro obblighi nella protezione dei dati personali degli interessati;
  • monitorare la compliance normativa, in particolare con il GDPR e con ulteriori norme specifiche della realtà sanitaria;
  • attivare il Titolare ed il Responsabile di Trattamento per provvedere al Data Protection Impact Assessment e monitorare le performance (GDPR, Art. 35);
  • cooperare con l’Autorità Garante: il DPO è l’interfaccia ufficiale verso l’Autorità Garante per richiedere pareri, segnalare eventuali violazioni sui dati personali e gestire eventuali ispezioni.

CONCLUSIONI

Saranno  dodici mesi di fuoco, quelli che rimangono alle Aziende per adeguarsi alla nuova privacy europea, anche perché, trattandosi di un regolamento dell'Ue, le nuove misure saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale da parte del nostro Stato, e soprattutto senza previsione di alcun rinvio dell'ultimo minuto.

Federico Bergaminelli

 

Regolamento Privacy UE – pratiche corrette di adeguamento – Il Data Protection Office

Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma...

Leggi tutto

LA ISO 37001 COME ASSET PER PREVENIRE LA CORRUZIONE NEL SETTORE PUBBLICO E PRIVATO

SEMINARIO A PARTECIPAZIONE GRATUITARivolto ad organizzazioni pubbliche e private, che desiderano...

Leggi tutto

Standard ISO 37001 “Anti-Bribery Management systems

Federico BergaminelliPRESIDENTE ISTITUTO ITALIANO ANTICORRUZIONE A new business tool designed...

Leggi tutto

NOTA! Questo sito utilizza i cookie e tecnologie simili.

Se non si modificano le impostazioni del browser, l'utente accetta. Per saperne di piu'

Approvo

INFORMAZIONI GENERALI, DISATTIVAZIONE E GESTIONE DEI COOKIE

I cookie sono dati che vengono inviati dal sito web e memorizzati dal browser internet nel computer o in altro dispositivo (ad esempio, tablet o cellulare) dell’utente. Potranno essere installati, dal nostro sito internet o dai relativi sottodomini, cookie tecnici e cookie di terze parti.

Ad ogni modo, l’utente potrà gestire, ovvero richiedere la disattivazione generale o la cancellazione dei cookie, modificando le impostazioni del proprio browser internet. Tale disattivazione, però, potrà rallentare o impedire l'accesso ad alcune parti del sito.

Le impostazioni per gestire o disattivare i cookie possono variare a seconda del browser internet utilizzato, pertanto, per avere maggiori informazioni sulle modalità con le quali compiere tali operazioni, suggeriamo all’Utente di consultare il manuale del proprio dispositivo o la funzione “Aiuto” o “Help” del proprio browser internet.

Di seguito si indicano agli Utenti i link che spiegano come gestire o disabilitare i cookie per i browser internet più diffusi:
- Internet Explorer: http://windows.microsoft.com/it-IT/internet-explorer/delete-manage-cookies
- Google Chrome :https://support.google.com/chrome/answer/95647
- Mozilla Firefox: http://support.mozilla.org/it/kb/Gestione%20dei%20cookie
- Opera: http://help.opera.com/Windows/10.00/it/cookies.html
- Safari: https://support.apple.com/kb/PH19255

 

COOKIE TECNICI

L’uso di cookie tecnici, ossia cookie necessari alla trasmissione di comunicazioni su rete di comunicazione elettronica ovvero cookie strettamente necessari al fornitore per erogare il servizio richiesto dal cliente, consente la fruizione sicura ed efficiente del nostro sito.

Potranno essere installati cookie di sessione al fine di consentire l’accesso e la permanenza nell’area riservata del portale come utente autenticato.

I cookie tecnici sono essenziali per il corretto funzionamento del nostro sito internet e sono utilizzati per permettere agli utenti la normale navigazione e la possibilità di usufruire dei servizi avanzati disponibili sul nostro sito web. I cookie tecnici utilizzati si distinguono in cookie di sessione, che vengono memorizzati esclusivamente per la durata della navigazione fino alla chiusura del browser, e cookie persistenti che vengono salvati nella memoria del dispositivo dell’utente fino alla loro scadenza o cancellazione da parte dell'utente medesimo. Il nostro sito utilizza i seguenti cookie tecnici:

• Cookie tecnici di navigazione o di sessione, utilizzati per gestire la normale navigazione e l'autenticazione dell'utente;
• Cookie tecnici funzionali, utilizzati per memorizzare personalizzazioni scelte dall'utente, quali, ad esempio, la lingua;
• Cookie tecnici analytics, utilizzati per conoscere il modo in cui gli utenti utilizzano il nostro sito web così da poter valutare e migliorare il funzionamento.

 

COOKIE DI TERZE PARTI

Potranno essere installati cookie di terze parti: si tratta dei cookie, analitici e di profilazione, di Google Analytics, Google Doubleclick, Criteo e Facebook. Tali cookie sono inviati dai siti internet di predette terze parti esterni al nostro sito.

I cookie analitici di terze parti sono impiegati per rilevare informazioni sul comportamento degli utenti sul sito. La rilevazione avviene in forma anonima, al fine di monitorare le prestazioni e migliorare l'usabilità del sito. I cookie di profilazione di terze parti sono utilizzati per creare profili relativi agli utenti, al fine di proporre messaggi pubblicitari in linea con le scelte manifestate dagli utenti medesimi.

L’utilizzo di questi cookie è disciplinato dalle regole predisposte dalle terze parti medesime, pertanto, si invitano gli Utenti a prendere visione delle informative privacy e delle indicazioni per gestire o disabilitare i cookie pubblicate nelle seguenti pagine web:

Per cookie di Google Analytics:
- privacy policy: https://www.google.com/intl/it/policies/privacy/
- indicazioni per gestire o disabilitare i cookie: https://support.google.com/accounts/answer/61416?hl=it
Per cookie di Google Doubleclick:
- privacy policy: https://www.google.com/intl/it/policies/privacy/
- indicazioni gestire o disabilitare i cookie: https://www.google.com/settings/ads/plugin
Per cookie di Criteo:
- privacy policy: http://www.criteo.com/it/privacy/
- indicazioni per gestire o disabilitare i cookie: http://www.criteo.com/it/privacy/
Per cookie di Facebook:
- privacy policy: https://www.facebook.com/privacy/explanation
- indicazioni gestire o disabilitare i cookie: https://www.facebook.com/help/cookies/