Abbiamo parlato tanto del GDPR (General Data Protection Bill) e per un buon motivo: la normativa europea riguardante il trattamento dati entrata in vigore nel 2016 ma che sarà effettiva dal 25 maggio 2018 è, al momento, l’argomento di punta del settore informatico.
Perché?
Perché il GDPR comporterà un adeguamento al trattamento dei dati per tutte le aziende, grandi e piccole, senza esclusione.
Si tratta appunto di una normativa, non di una direttiva, proprio perché non lascia margine di interpretazione da parte delle nazioni europee.
Quindi: Dobbiamo adeguarci. Tutti.
E per molte aziende l’adeguamento sarà un processo lungo e faticoso.
Cosa vuol dire per un’azienda adeguarsi al GDPR?
Vuol dire rafforzare o, se necessario cambiare radicalmente, la gestione e la protezione dei dati aziendali.
Gli attori del GDPR
Interessato del trattamento: la persona fisica i cui dati sono oggetto del trattamento.
Titolare del trattamento: la persona fisica o giuridica (azienda o ente) titolare del trattamento. Tratta il dato.
Risponde legalmente a mancata adesione del trattamento.
Responsabile del trattamento: la persona responsabile del trattamento (può essere esterna o interna all’azienda). Come il titolare, risponde legalmente a mancata adesione del trattamento.
DPO: Data Protection Officer. Una figura che deve essere inserita per controllare che le norme del GDPR vengano rispettate. È mediatore tra l’azienda ed il Garante della Privacy.
Il DPO vigilerà sull’operato dell’azienda grazie a conoscenze in materia di diritto e protezione di dati. Questo soggetto potrà essere interno od esterno allo staff, dovrà avere a disposizione tutte le risorse necessarie per svolgere adeguatamente il suo lavoro, dovrà conferire direttamente con i massimi livelli dell’azienda e non potrà svolgere attività che risultino in conflitti d’interesse.
Dovrà controllare la gestione dei dati personali e la loro protezione. Insomma, sarà il “GDPR officer”, la persona che controlla che la normativa sia seguita.
Attenzione: il DPO non è obbligatorio in ogni azienda.
Quando è obbligatorio il DPO?
Quando il trattamento dei dati è effettuato da autorità o organismo pubblico.
Quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”.
Quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.
Il GDPR farà interagire l’ufficio legale con l’ufficio IT, il marketing con l’ufficio amministrativo…
Sarà una vera e propria rivoluzione aziendale che spingerà le aziende a migliorarsi, non lasciando più niente per scontato e non permettendo ad entità esterne di sottrarre i dati aziendali con facilità.
Perché è stato necessario un provvedimento di questo tipo?
Perché ci troviamo a vivere in un mondo diverso rispetto a pochi anni fa, questo è chiaro.
Il cyber crimine è all’ordine del giorno. Le aziende si trovano ad affrontare quotidianamente attacchi di hacker con conseguenti perdite di dati.
Con un provvedimento come questo si vuole tornare a dare importanza ai dati.
Dobbiamo adeguarci: ma come?
Per adeguarsi le aziende dovranno prima di tutto accettare che il cambiamento porterà un diverso modo di approcciarsi ai dati e alle politiche aziendali. Per alcune aziende sarà semplice, per altre no.
Concretamente sarà necessario affidarsi a degli esperti del settore legale ed informatico.
Il GDPR parte da questo presupposto: hai fatto tutto quello che è in tuo potere per proteggere i dati che detieni? Per scoprire se questo è vero sarà necessario fare dei controlli accurati interni, partendo dalla propria rete e passando per la politica interna nei confronti della gestione dei dati.
Prima di tutto chiediti:
Che tipi di dati raccoglie la tua azienda?
Per quale motivo?
Dove archivi i dati che raccogli?
Chi ha accesso a questi dati? In quanti?
Per quanto tempo conservi i dati raccolti?
Dopo aver risposto a queste domande bisogna capire se i sistemi che vengono utilizzati sono sicuri. Qui entra in gioco il controllo dei sistemi informatici.
Per controllare il livello di sicurezza informatica di un’azienda esistono diversi tipi di test.
La più importante è sicuramente la V.A., ovvero la Vulnerability Assessment. Si tratta di un test che riesce a scovare tutte le falle in un sistema, quelle vulnerabilità, appunto, che mettono a rischio la sicurezza.
La V.A. è consigliata alle aziende grandi come a quegli enti ed aziende che hanno a che fare con dati estremamente sensibili (ospedali, banche, amministrazioni comunali ecc.).
Nel loro caso infatti, è obbligatorio effettuare la DPIA, il processo che il titolare deve effettuare nel momento in cui il trattamento dei dati presenti un forte rischio per la libertà delle persone. È una sorta di auto-verifica necessaria.
Per le PMI esistono comunque metodi di controllo, come la mappatura della rete.
Dopo aver controllato cosa funziona e cosa no, l’azienda deve ovviamente dotarsi dei sistemi di protezioni adeguati e di tutte quelle contromisure necessarie alla salvaguardia dei dati.
Ad esempio:
Back up periodici
Restore dei back up
Cambio password ogni 3/6 mesi
Accessi ai dati limitati alle persone autorizzate
Sistemi di Disaster Recovery
Difesa contro malware e difesa dei confini (Tekapp ha scelto Avecto Defendpoint)
Valutazione e correzione continue delle vulnerabilità
Queste sono solo alcune delle procedure base che ogni azienda deve effettuare per mettere in sicurezza i dati.
Ma sistemare la parte informatica non basta…
Come abbiamo detto è necessaria la consulenza legale per mettere a norma tutti i trattamenti aziendali ed in generale per sistemare l’infrastruttura aziendale.
Vi ricordiamo di nuovo che per adeguarsi è necessario il supporto di esperti del settore legale ed informatico.
Quanto costerà adeguarsi al GDPR?
È davvero questa la domanda da porsi?
Stiamo parlando di una manovra che tenta di arginare una problematica seria e pericolosa. Si tratta anche di creare consapevolezza nelle persone al di fuori del settore IT.
Adeguarsi al GDPR vorrà dire spendere soldi e tempo, è vero, ma il rischio di perdita di dati può costare molto di più.
In caso di un attacco infatti, tra la multa derivata, le spese per il recupero dei dati e le spese per il tempo perso (non dedicato quindi al proprio lavoro), possono risultare insostenibili.
Senza considerare poi il danno d’immagine, la sfiducia, lo stress causato, l’eventuale perdita di personale e le implicazioni penali.
Mettete la sicurezza al primo posto, affrontare le conseguenze sarà molto peggio.
Facciamo un esempio:
Un’azienda che fattura 2 milioni di euro all’anno e che decide di non adeguarsi al GDPR subisce un attacco che risulta in un Data Breach.
Senza back up di rete e sistemi di Disaster Recovery, l’azienda si troverà a pagare:
Sanzione prevista dal GDPR: 4% del fatturato, in questo caso 80.000 euro
Perdita di dati e costi di recupero: ipotizzando un periodo di recupero di 2/3 mesi, bisogna considerare il costo dei dipendenti incaricati a farlo. Proviamo a stimare 7.000/8.000 euro?
Non dovremmo considerarlo, ma se l’attacco informatico è un ransomware è possibile che qualche azienda paghi il riscatto in bitcoin o in altre cryptovalute. Se la disperazione ha la meglio ed il riscatto viene pagato la cifra può variare. Wannacry chiedeva 300 dollari in cryptovaluta, ma gli attacchi successivi sono stati molto più cari. Teniamo 500 euro.
Perdita in produttività. L’azienda è bloccata perché gli ordini non arrivano, oppure i camion che trasportano i prodotti non possono partire perché manca la documentazione… Il danno va in base alle giornate. Mettiamo 3 giorni? Ipotizziamo 20.000 euro di perdita.
La cifra si aggira attorno ai 110.000 euro di multa per un’azienda con fatturato 2 milioni di euro.
I dati sono completamente inventati, chiaramente, ma gli esempi si sprecano.
È importanti infatti ricordare che già varie aziende sono state multate per mancata adesione alla legge sulla privacy, “l’antenata” del GDPR. Multe estremamente salate per errori che qualcuno potrebbe definire “banali”, come trattamenti errati sui siti internet.
Insomma, non aderire può costare tanto, tantissimo.
Le sanzioni, infatti, saranno salatissime!
Come abbiamo detto, le multe saranno fino al 4% del fatturato annuo aziendale o 20 milioni di euro in base a qual è la cifra più alta. Senza considerare la macchia sulla reputazione di un’azienda che non tiene in considerazione la sicurezza dei suoi clienti.
Ma è davvero così importante questa norma?
Decisamente sì.
La nuova regolamentazione mira ad arginare tutti quei problemi definiti “data breaches”, le “dispersioni” o i furti di dati che accadono quotidianamente alle aziende.
Per “dati”, la Commissione Europea firmataria del GDPR intende tutte le informazioni legate ad un individuo, nella sua vita privata, pubblica e professionale. Possono essere nomi, foto, informazioni sensibili quali dati bancari, indirizzi (web o reali), presenza social o comunque web, informazioni mediche o indirizzi IP di computer.
Al momento si parla molto di furti di dati, di malware “globali”; questo, come abbiamo detto, perché sono scoppiati casi come Wannacry e tutti i suoi successori.
Ma la realtà è un’altra: da anni, ogni giorno, migliaia di minacce colpiscono le aziende in giro per il mondo.
Ora è semplicemente diventato tutto più palese.
Entriamo nello specifico:
Vediamo alcuni dei punti che tocca questa normativa europea fondamentale.
Il diritto di un individuo di ottenere le informazioni che un’azienda ha su di lui. Questo diritto è definito della “portabilità del dato”. L’interessato ha, appunto, “diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile, e riutilizzabile per poterli conservare e/o trasferire ad altro titolare” (questo diritto è previsto nel caso di dati trattati con strumenti automatizzati, dati il cui trattamento si basa sul consenso dell’interessato o su contratto, o dati trasmessi direttamente dall’interessato).
Il diritto di un individuo di negare il consenso a posteriori per il trattamento dei dati.
Il diritto di essere informato propriamente ed in maniera semplice e comprensibile dei rischi che corri nel rilasciare i tuoi dati (il classico “trattamento dei dati” che nessuno mai legge dovrà essere chiaramente esplicitato).
Le informative sul trattamento dei dati rimarranno intatte ma verranno ampliate, includendo il tempo di mantenimento dei dati e i nominativi di chi può li vedere e controllare, insieme al nome del funzionario alla protezione dei dati.
Ogni volta che un’azienda avvia un progetto che prevede trattamenti di dati sarà necessario predisporre delle valutazioni di impatto privacy.
Per quanto riguarda un altro concetto fondamentale riguarda la Breach Notifications, ovvero la notificazione delle violazioni dei dati agli utenti coinvolti. La notifica dovrà essere effettuata entro 72 ore dalla scoperta della violazione senza ritardi ingiustificati.
Il diritto di contestare le decisioni automatizzate, ovvero che processi come la profilazione (quel fenomeno, scaturito da algoritmi, che suddivide gli utenti dividendoli grazie alle informazioni prese online su gusti, età, sesso…Insomma tutte quelle informazioni utili nei processi di marketing)
Il titolare del trattamento dovrà dimostrare di avere ottenuto il consenso secondo i requisisti di legge.
Il diritto all’oblio, ovvero il diritto di “scomparire” online, nel caso si voglia. È una funzione importantissima per proteggere la privacy.
Il consenso dell’interessato dovrà essere LIBERO, SPECIFICO, INFORMATO, INEQUIVOCABILE E SEMPRE REVOCABILE.
Privacy by Design: un concetto fondamentale, secondo sui le misure di protezione dei dati devono essere incluse nella progettazione dei processi aziendali. In parole povere, si deve pensare sempre alla sicurezza dell’utente, fin dall’inizio di ogni processo commerciale ed informatico. Grazie a questo principio saranno processati solo i dati realmente utili e l’accesso sarà limitato a pochissime persone.
Privacy by default: dovranno essere raccolti solo i dati strettamente necessari alle operazioni e per un tempo limitato.
Cos’è il principio di accountability?
Da diversi anni è nato il concetto di accountability, che in Italia viene tradotto come principio di responsabilizzazione.
Questo concetto vuole appunto “responsabilizzare” il titolare del trattamento dei dati riguardo ai suoi obblighi e doveri.
Non solo, il titolare dei dati, deve sì attuare tutte le politiche di controllo ed accertamento necessarie al trattamento dei dati, ma deve anche provare di farlo.
Insomma, bisogna essere conformi alla normativa e riuscire a provarlo.
La richiesta da parte dei legislatori è appunto di una maggiore attenzione ai propri obblighi, in maniera attiva.
Il principio di accountability è particolarmente intricato da capire, poiché le “misure minime” possono variare, non essendo ben definite.
Per fare un po’di chiarezza proviamo comunque ad elencare alcune delle misure assolutamente necessarie per aderire alla normativa:
Chi posso contattare per mettermi a norma?
Alcune aziende informatiche si sono abilitate per mettere a norma le imprese, lato sicurezza informatica, secondo il GDPR.
La nostra azienda, Tekapp, è una di queste.
Avvalendoci della collaborazione con uno studio legale specializzato in diritto informatico possiamo valutare i rischi che corre un’azienda e provvedere a fornire la consulenza ed il supporto necessario a renderla a prova di GDPR.
Attenzione!!
Non esiste ancora nessuno strumento certificato e nessun certificatore accreditato ai sensi del GDPR.
State molto attenti a chi si spaccia da “esperto certificato”, perché al momento non esiste tale qualifica.
Ricordatevi!
Ogni stato membro dovrà applicare la normativa vigente, senza eccezioni. Grazie ad un protocollo comune a tutti gli stati europei si prospetta maggiore chiarezza nei processi e minore burocrazia.
La decisione determinerà grossi cambiamenti ma sicuramente in positivo.
La sicurezza, come ci hanno sempre insegnato, prima di tutto!
Contattate Tekapp per diventare GDPR-compliance!
#innovazione #sicurezza #tecnologia #informatica #tekapp #gdpr