Aspetti non chiari del GDPR

Fare una sintesi del nuovo regolamento del GDPR, con ogni probabilità è il modo migliore per mettere in fila tutti i punti fondamentali di questo regolamento e fare un rapido percorso all’interno dei suoi macro-capitoli per verificare quanto siamo effettivamente conformi alle direttive imposte dal regolamento.

La normativa Europea del GDPR (dall’inglese: General Data Protection Regulation) ovvero, nella nostra lingua Italiana RGPD (Regolamento Generale sulla Protezione dei Dati) è ormai entrata in vigore. Nonostante la rete abbia già provveduto a fornire un gran numero di articoli esplicativi, regna ancora una gran confusione sulla materia.

Stiamo ovviamente parlando dell’ormai celeberrimo Regolamento UE 2016 679 del 27 aprile 2016, che ha causato e sta ancora causando più di qualche preoccupazione (e notti insonni) a coloro che il regolamento dovranno applicarlo nella realtà.

La data del 25 maggio 2018 ha con ogni probabilità significato per molti addetti ai lavori una specie di spauracchio, sollevando inquietanti domande sia sui alcuni innovativi meccanismi del regolamento, sia su alcune oscure terminologie del tutto nuove agli informatici.

Come “addetto ai lavori”, ho avuto la necessità di addentrarmi nello studio di questa materia poco tecnica (dal punto di vista informatico) e molto “legale”. Una cosa però mi è apparsa chiarissima fin da subito: il GDPR non è qualcosa che può essere né ignorato, né sottovalutato, ma un elemento che va necessariamente aggiunto al bagaglio di conoscenze dell’informatico.

la necessità di per , ma che ho seguito diversi seminari e conferenze per cercare di mettere un po’ d’ordine nell’intricato mondo del GDPR.

Ne è nato questo articolo che si propone di fare un sintetico quadro della situazione e degli aspetti da tenere sempre presenti. Ci tengo però a sottolineare che il contenuto di questo articolo è puramente indicativo e tutt’altro che definitivo. Per una migliore ed esaustiva analisi del GDPR il documento di riferimento è e rimane sempre il Regolamento ufficiale che puoi trovare, nelle varie lingue europee a questa pagina.

Del Regolamento c’è anche una versione un po’ più “umana”, con tanto di interpretazione del Garante della Privacy Italiana, per renderlo applicabile nel nostro contesto. Sto parlando del Regolamento UE 2016 679 con riferimenti ai considerando che puoi scaricare dall’indirizzo del Garante Privacy ; ossia, del documento completo, relativo al Regolamento UE 2016 679. Arricchito con riferimenti ai Considerando Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018.

Le sanzioni pecuniarie

Cominciamo subito dalle sanzioni pecuniarie previste dal GDPR; argomento nei confronti del quale,  siamo tutti molto sensibili, visto che si tratta di soldi.

Il Regolamento, all’articolo 83, punto 5,  cita testualmente:

[…] è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

C’è poco da dire al riguardo. Anche se il termine “fino a…” sta a significare che molto dipende dal tipo e dal contesto della violazione. In altre parole, molto dipende mal “peso” della violazione e si può andare da una semplice (per modo di dire)  diffida, fino al massimo della sanzione pecuniaria appena citata.

Una cosa è comunque certa: le sanzioni pecuniarie sono molto chiare in proposito di violazioni e sono quello che possono davvero fare più male alle aziende che sottostimano l’importanza della privacy.

Chi risponde delle violazioni?

Tipicamente, ne risponde il Titolare, proprio in quanto titolare responsabile dell’azienda o legale rappresentante. Ma il Responsabile, non è certo esente (proprio in quanto tale) a rispondere delle eventuali violazioni.

Tuttavia, quello che qui è fondamentale sottolineare, consiste nel fatto che i chi gestisce i dati personali, sono responsabili in solido delle eventuali violazioni.

In altre parole, non ci si può nascondere dietro una s.r.l. o qualsiasi altra forma societaria. Sarà quindi sempre chiamata la “persona” del Titolare e del Responsabile al pagamento della sanzione, tramite il proprio patrimonio personale. Oltre ad eventuali danni causati all’utente, dalla mancata protezione dei dati.

L’approccio

Se fin’ora il metodo applicato alla privacy può essere stato un po’ lasco ed applicato , per così dire, “a posteriori”, con aggiustamenti ad-hoc delle varie applicazioni, per soddisfare le esigenze di privacy, ora con il GDPR la musica è cambiata totalmente, con la definizione di un nuovo tipo di approccio:

  • Privacy by Design
  • Privacy by Default

L’introduzione di tali due principi obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.

Privacy by Design

Privacy by design? Un concetto nuovo introdotto dal GDPR.

  • prevenire, non correggere. Ossia, i problemi vanno valutati nella fase di progettazione;
  • privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
  • privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
  • massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali: più privacy = meno sicurezza);
  • sicurezza durante tutto il ciclo del prodotto o servizio;
  • trasparenza;
  • centralità dell’utente.

Quindi, il sistema di tutela dei dati personali deve porre l’utente al centro, in tal modo obbligando ad una tutela effettiva da un punto sostanziale, non solo formale, cioè non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l’utente non è tutelato.

Privacy by Default

Il principio di privacy by default stabilisce,che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

I Diritti dell’Interessato

I diritti dell’Interessato, ovvero dell’utente, vanno sempre tenuti nella più grande considerazione possibile. Essi sono il perno in torno al quale si può dire che ruoti l’intera privacy.

Ma quali sono in dettaglio i diritti dell’Interessato?

  • Il diritto di Informazione dell’interessato, ossia, il diritto di ricevere una informazione chiara e corretta dei dati raccolti e trattati, delle finalità del trattamento, dei suoi diritti e dei modi per esercitarli.
  • Il diritto di accesso dell’interessato comporta in ogni caso il diritto di ricevere una copia dei dati oggetto di trattamento;
  • Il diritto all’oblio, cioè il diritto di cancellazione dei dati, è più esteso rispetto a quanto previsto nel Codice (per esempio, l’interessato può richiedere la cancellazione dei propri dati anche dopo la revoca del consenso);
  • Il diritto di limitazione del trattamento, del blocco del trattamento. Non si applica solo se c’è stata una violazione dei fondamenti di liceità del trattamento, ma anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento;
  • Il diritto alla portabilità dei dati, il quale è applicato ai trattamenti automatizzati e può essere esercitato dall’interessato per ricevere, dal titolare del trattamento, i dati personali che lo riguardano in modo che possa essere trasmessi ad un altro titolare (un’altra azienda) per il trasferimento online di un servizio ad un diverso fornitore.

L’esercizio dei diritti

Come esercita l’utente i propri diritti? L’Interessato può rivolgersi direttamente al titolare del trattamento per l’esercizio dei suoi diritti:

  • Per tutti i diritti degli Interessati, il Regolamento prevede il termine di un mese per la risposta da parte del Titolare del trattamento, anche in caso di diniego;  tale termine può essere esteso fino a tre mesi in casi più complessi.
  • Il Titolare del trattamento può decidere, sulla base della complessità del riscontro, di chiedere un contributo, in caso di richieste manifestamente infondate o eccessive;
  • Il Titolare del Trattamento deve dare il riscontro agli interessati in forma scritta, anche tramite strumenti elettronici; in forma orale solamente se lo richiede l’interessato stesso;
  • La risposta all’interessato deve essere intelligibile, concisa, trasparente, facilmente accessibile e data in un linguaggio semplice e chiaro;

.

Le categorie di Dati

Ma quali sono effettivamente le categorie di dati che devono essere tutelati?

Il GDPR è piuttosto chiaro  su questo punto, facendo una distinzione in classi dei dati dell’Interessato in:

  • Dati Identificativi
  • Dati Sensibili
  • Dati Anonimizzati

Dati identificativi

Le informazioni di identificazione personale (PII, Personally Identifiable Information) sono dati che consentono l’identificazione diretta dell’interessato. Secondo la definizione utilizzata dall’Istituto nazionale degli standard e della tecnologia (NIST) tra tali dati ci sono:

  • nome e cognome
  • indirizzo di casa
  • indirizzo email
  • numero identificativo nazionale
  • numero di passaporto
  • indirizzo IP (quando collegato ad altri dati)
  • numero di targa del veicolo
  • numero di patente
  • volto, impronte digitali o calligrafia
  • numeri di carta di credito
  • identità digitale
  • data di nascita
  • luogo di nascita
  • informazioni genetiche
  • numero di telefono
  • Nome dell’account o nickname.

Dati Sensibili

L’articolo 9 del GDPR sancisce inoltre un generale divieto di trattare dati che rivelino:

  • l’origine razziale o etnica,
  • le opinioni politiche,
  • le convinzioni religiose o filosofiche,
  • l’appartenenza sindacale,
  • dati genetici,
  • dati biometrici intesi a identificare in modo univoco una persona fisica,
  • dati sanitari, relativi alla salute (anche la semplice ferita ad una mano),
  • dati relativi alla vita sessuale o all’orientamento sessuale.

Dati anonimizzati

  • Dati anonimizzati. I Dati anonimizzati sono quei dati che sono stati privati di tutti gli elementi identificativi. I dati anonimizzati non sono ritenuti dati personali, e quindi non sono soggetti alle norme a tutela dei dati personali.
  • Dati pseudonimi. Dati pseudonimi sono quei dati personali nei quali gli elementi identificativi sono stati sostituiti da elementi diversi, quali stringhe di caratteri o numeri (o hash), oppure sostituendo al nome un nickname, purché sia tale da rendere estremamente difficoltosa l’identificazione dell’interessato. Ovviamente il soggetto che detiene la chiave per decifrare i dati (cioè collegare l’elemento pseudonimo al dato personale) deve garantire adeguate misure contro possibili abusi.

Le figure di riferimento

Cerchiamo di fare un po di luce sugli attori principali, così come sono indicati nel regolamento.

Il Titolare del trattamento dei dati

Il Titolare del Trattamento nel nuovo regolamento europeo è indicato come Data Controller Officier (DCO). Esso è in genere è il titolare responsabile dell’azienda o il legale rappresentante, oppure una persona incaricata ufficialmente dall’azienda per questo preciso scopo.

Per citare il Regolamento:

[…] la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Il titolare è quindi solitamente il titolare dell’azienda o l’amministratore delegato. L’aspetto che vale la pena di sottolineare è che il Titolare del Trattamento è colui che decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l’obbligo di notifica al Garante nei casi previsti.

In altre parole, il Titolare non è colui che “gestisce” i dati, il cui compito che spetta al Responsabile, ma colui che sovraintende al Trattamento nella sua globalità.

Il Titolare del Trattamento può distribuire incarichi interni (es. responsabile dell’area legale, dell’area marketing, ecc…), ma la responsabilità rimane sua, e dell’eventuale responsabile (sia interno che esterno) nominato.

Il Ruolo del Titolare del Trattamento

Il Titolare del Trattamento è solitamente individuato nella persona «responsabile» dell’azienda. Nel contesto del nuovo Regolamento sulla Privacy, esso è anche individuato come Titolare del Trattamento, e come tale ha degli obblighi ai quali non può sottrarsi:

  1. Decide il motivo e le modalità del trattamento
  2. È responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa
  3. È responsabile per il Trattamento dei dati
  4. Redige la Valutazione di impatto e rischio del trattamento (DPIA, Data Protection Impact Assessment)
  5. Ha l’obbligo di notifica al Garante (prima del Trattamento) nei casi previsti per le seguenti tipologie di dati:
    • Biometrici (impronte digitali, riconoscimento iride);
    • Genetici;
    • Dati di geo-localizzazione (GPS);
    • Dati sullo stato di salute trattati a fini di procreazione assistita;
    • Prestazione di servizi sanitari per via telematica;
    • Indagini epidemiologiche;
    • Rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
    • dati gestiti dalle centrali rischi sulla solvibilità economica.
  6. Il titolare nomina il Responsabile con un contratto o un qualsiasi altro atto giuridicamente valido.
  7. Verifica la Checklist per tutte le aziende incaricate al Trattamento
  8. Redige eventualmente i verbali di riunione dove vengono conferiti gli incarichi (Responsabile, Incaricati)
  9. Collabora con il Responsabile per redigere, compilare e mantenere aggiornato il Registro dei Trattamenti.

Il Responsabile del trattamento dei dati

Il Responsabile del Trattamento, nel nuovo regolamento europeo, è indicato come Data Protection Officier (DPO), ovvero il Responsabile per la Protezione dei Dati (RPD). Esso è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento.

Il rapporto del Titolare ed il Responsabile del Trattamento va regolato con un atto giuridico (solitamente un contratto) nel quale vanno specificati al Responsabile, gli obblighi e i limiti del trattamento dati.

Per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare ed elaborare dati per conto di questi.

Obblighi del responsabile

Gli obblighi del Responsabile sono citati piuttosto chiaramente citati nel Regolamento:

  • Obblighi di trasparenza
  • Garantire la sicurezza dei dati
  • Attuare le misure tecniche ed organizzative
  • Avvisare, assistere e consigliare il titolare

Il Ruolo del Responsabile del Trattamento

  1. È nominato dal Titolare del trattamento con un atto giuridicamente valido o, in caso di responsabile esterno, con un contratto. Insieme al Responsabile pone in atto le misure tecniche ed organizzative congrue per garantire un livello di sicurezza adeguato al rischio.
  2. Riceve e gestisce le richieste di tutela dei dati in caso di violazione dei diritti dell’interessato.
  3. Redige, compila, e tiene aggiornato, insieme al Responsabile, il Registro dei Trattamenti.

Lettera di Incarico al Responsabile

Il Titolare del Trattamento nomina il Responsabile del Trattamento tramite una lettera di Conferimento di Incarico, dopo essersi assicurato che la persona individuata per tale incarico sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall’art. 37, par. 5 del GDPR

La nomina del Responsabile è discrezionale, ma se il titolare si avvale di uno o più soggetti esterni deve, a sua volta, nominarli come Responsabili del Trattamento.

A sua volta, il Responsabile del Trattamento, con il consenso del Titolare, può nominare ulteriori responsabili del trattamento per vari settori aziendali che hanno necessità di accedere ai dati (segretaria, tecnico informatico, venditore, ecc.), ossia un Incaricato al Trattamento.

Responsabile Interno all’Azienda

Il Responsabile del Trattamento dei dati può anche essere interno all’azienda. In anche in questo caso dovrà essere comunque nominato con atto giuridico interno (lettera di nomina e verbale di riunione).

Se è soggetto interno le risorse saranno a carico del titolare.

Responsabile Esterno all’Azienda

Con riferimento ai fornitori di servizi, il ruolo del responsabile del trattamento è chiaramente un soggetto esterno all’azienda che tratta i dati attenendosi alle istruzioni del Titolare, e assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura.

L’Incaricato del trattamento dei dati

È la persona o le persone fisiche che tecnicamente hanno l’accesso ai dati e li trattano per gli scopi necessari, ossia a compiere operazioni necessarie di trattamento dei dati. Esso è pertanto autorizzato dal titolare o dal responsabile al trattamento.

A titolo di esempio.

  • Il personale della Segreteria che ha l’accesso ad almeno una parte dei dati delle persone che ha necessità di contattare.
  • Il contabile che ha l’accesso ad almeno una parte dei dati per la fatturazione.
  • Il responsabile delle Vendite che ha l’accesso ad almeno una parte dei dati (anche aggregati) per la pianificazione delle strategie.
  • Il sistemista che ha l’accesso al sistema che contiene i dati (Sistema, Database, Log)

L’Incaricato dovrà essere nominato dal Titolare e/o dal Responsabile tramite una apposita Lettera di Incarico al Trattamento, nella quale sono specificati:

  • Le istruzioni per l’assolvimento del compito assegnato
  • La tipologia dei dati che l’Incaricato può trattare (dati identificativi, sensibili, anonimizzati, ecc.).
  • I limiti entro i quali i dati possono essere trattati.

Il Revisore esterno (opzionale)

Il revisore esterno è una ulteriore figura, non chiaramente identificata nel GDPR, ma al quale di può fare riferimento come ulteriore Responsabile del Trattamento. Il compito del «Revisore» è quello di accertare che le procedure tecniche siano state applicate secondo quanto prescritto dalla normativa.

In particolare, esso è  (o dovrebbe essere) una figura super partes che interviene ogni qual volta viene applicata la revisione annuale e/o semestrale dei documenti delle procedure, al fine di verificare e certificare (come ente esterno) che le attività di verifica e revisione siano state effettivamente svolte secondo quanto prescritto dal Regolamento.

Data la natura dell’incarico, anche il Revisore Esterno va considerato come Incaricato, anche se a breve termine (il tempo della revisione); pertanto esso è soggetto alle medesime procedure dell’Incaricato, o per meglio dire, del Responsbile.

Inventario delle Attività

L’inventario delle attività relative al trattamento dei dati, è sicuramente la prima attività che va completata dal Titolare, quando l’azienda avvia un servizio per il quale è previsto un trattamento di dati.

L’inventario delle attività è strutturato secondo le seguenti aree:

  • Tipologia
  • Ambito
  • Mezzi
  • Modalità

Tipologia

In questo settore vengono analizzate tutte le tipologie e le categorie dei dati trattati. Il titolare del trattamento indica tutte le tipologie dei dati trattati e per quali scopi essi sono trattati.

Le informazioni di identificazione personale (PII, Personally identifiable information) sono dati che consentono l’identificazione diretta dell’interessato. Secondo la definizione utilizzata dall’Istituto Nazionale degli Standard e della Tecnologia (NIST) tra tali dati ci sono quelli che sono stati  elencati più sopra al capitolo Categorie di dati.

Ambito

Ossia, in quale ambito vengono trattati i dati. I dati dell’interessato devono essere trattati  in un ambito ben preciso e chiaramente specificato dal Titolare del Trattamento.

Ad esempio, solitamente i dati sono trattati nell’ambito dei rapporti commerciali e professionali che intercorrono con l’Interessato, (pertanto limitati ai servizi espressamente richiesti dall’Interessato). Oppure, nell’ambito  dei servizi richiesti dall’utente per la navigazione di un sito web.

Mezzi

Ossia, con quali mezzi vengono trattati i dati sensibili. tipicamente, questo può avvenire con mezzi del tipo:

  • Su supporti cartacei
  • Con strumenti digitali

Supporti Cartacei

I dati dell’Interessato sono trattati anche su supporti cartacei, e sono conservati in luogo sicuro, ossia, in un apposito armadio provvisto di chiusura di sicurezza il cui accesso è concesso esclusivamente alle persone Incaricate espressamente autorizzate dal Titolare e/o dal Responsabile.

Per fare qualche esempio.  Una piccola bottega di un  artigiano utilizza supporti cartacei quando  non utilizza  computer per annotare i dati dei propri clienti ed emette fatture in forma cartacea, scritte a mano.

Strumenti Digitali

I dati dell’Interessato sono trattati anche con mezzi digitali per l’erogazione dei servizi informatici, di cui l’interessato ne ha esplicitamente richiesto l’accesso (Siti Web).

  1. Supporto magnetico (Hard Disk) – Per quanto necessario alla memorizzazione dei dati e l’elaborazione degli stessi tramite elaboratori elettronici.
  2. Supporto Ottico (CD/DVD) – Per quanto necessario alla memorizzazione ed alla archiviazione a lungo termine dei dati trattati.
  3. Trasmissione in Rete – Per quanto necessario alle comunicazioni con l’interessato e per le attività di elaborazione interna.
  4. Applicazioni informatiche – per quanto necessario alla elaborazione dei dati con strumenti informatici specifici

Per fare un semplice esempio,  l’azienda che tratta i dati con elaboratori elettronici e f auso quindi di registrazioni dei dati sugli hard disk dei computer, sta utilizzando supporti digitali.

A tale proposito, non va dimenticato che anche semplicemente trascrivere il numero telefonico del proprio cliente nello smartphone implica l’utilizzo di un supporto digitale come mezzo, con il quale vengono trattati i dati dell’Interessato.

Modalità

Il modo in cui vengono trattati i dati.

Qui forse è meglio riportare un breve esempio su come descrivere le modalità di Trattamento dei dati.

  • Trattati in modo lecito e secondo correttezza e trasparenza;
  • Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  • Esatti e, se necessario, aggiornati;
  • Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  • Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
  • Utilizzo: I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Il Registro dei Trattamenti

Il Registro dei trattamenti è a carico del Titolare e, se nominato, del responsabile del trattamento.

Il registro deve essere tenuto in forma scritta, in forma cartacea, ma anche in formato elettronico. Esso dovrà essere esibito su richiesta dell’autorità di controllo (ossia, del Garante) nel caso in cui ci sia una verifica.

Il Registro dei Trattamenti è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio di tali trattamenti e ad una corretta pianificazione dei trattamenti stessi.

Il Registro dei Trattamenti non è uno strumento immutabile, ma va considerato come strumento di lavoro, e come tale deve essere modificato e deve essere mantenuto aggiornato, e sempre attuale.

Il registro deve elencare una serie di informazioni, di cui queste sono le informazioni minime richieste:

  1. Il Nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. Le finalità del trattamento;
  3. Una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. laddove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

I Documenti Fondamentali

Nell’ambito del GDPR è richiesto di mantenere una serie di documenti (che devono sempre essere aggiornati) che descrivano in modo completo l’intero contesto.

  • Documento tecnico della rete informatica (comprensivo di Asset e Network Diagrams)
  • Piano di Disaster Recovery (DRP: Disaster Recoery Plan)
  • Valutazione di impatto e rischio del trattamento (DPIA: Data Protection Impact Assessment) In taluni casi alcuni si riferiscono al DPIA come Documento Programmatico della Sicurezza o DPS.
  • Il Registro dei Trattamenti

Documento Tecnico della Rete Informatica

Il Documento Tecnico della Rete Informatica è il documento che descrive nel dettaglio l’architettura della rete informatica in uso ed è tipicamente allegato alla DPIA, come documento he descrive le implementazioni tecniche di sicurezza adottate.

Questo documento deve necessariamente contenere i seguenti elementi:

  • Disegno della rete con tutte le componenti (LAN Switch Router, Firewall, Workstation, Server) identificabili con un nomi assegnati ad ogni componente
  • Descrizione e configurazione di tutti i Server e di tutte le Workstation
    • Descrizione della crittografia dei sistemi (Filesystem, Database, File)
  • Descrizione e configurazione di tutti i LAN Switch
  • Descrizione e configurazione di tutti i Router
  • Descrizione e configurazione di tutti i Firewall
    • Descrizione delle Policy di Sicurezza
  • Descrizione delle comunicazioni in rete
    • Protocolli utilizzati (Sftp, Ssh, Https, VPN, ecc)
  • Asset della struttura informatica e rintracciabilità dei componenti

Valutazione di impatto e rischio del trattamento (DPIA)

La valutazione di impatto del trattamento (DPIA, dall’inglese Data Protection Impact Assessment) è redatta dal Titolare del trattamento (DCO) con il supporto del Responsabile.

Con questo documento, in taluni ambienti citato come DPS (ossia, Documento Programmatico sulla Sicurezza), si valuta l’impatto sul Trattamento ed i rischi legati alla gestione dei dati con i mezzi tecnici a disposizione (Vedi Documento Tecnico della Rete Informatica).

Contenuto del documento

Panoramica
  • Gli scopi del trattamento sono specifici, espliciti e legittimi?
  • Quali sono le basi legali che rendono il trattamento legittimo?
  • Ci sono standard applicabili al trattamento?
Dati, Processi e Risorse di Supporto
  • Quali sono i dati trattati?
  • Com’è il ciclo di vita del trattamento dei dati?
  • Quali sono le risorse di supporto ai dati?
Proporzionalità, Necessità
  • Gli scopi del trattamento sono specifici, espliciti e legittimi?
  • Quali sono le basi legali che rendono il trattamento legittimo?
  • I dati raccolti sono adeguati, rilevanti e limitati a quanto è necessario in relazione alle finalità per cui sono stati trattati (minimizzazione dei dati)?
  • I dati sono accurati e mantenuti aggiornati?
  • Quale è la durata della conservazione dei dati?

Rischi

Controlli di Sicurezza Funzionali
  • Crittografia. I mezzi implementati per assicurare la confidenzialità dei dati archiviati (in database, file, backup etc.), così come le procedure per gestire chiavi crittografiche (creazione, archiviazione, aggiornamento in caso di compromissione etc.).
    Descrivi i mezzi crittografici impiegati per i flussi di dati (VPN, SSL, TLS, etc.) implementati nel trattamento.
  • Anonimizzazione. Indicare se sono implementati meccanismi di anonimato, quali sono e per quali finalità
    Ricorda di distinguere tra dati anonimizzati o pseudonimi.
  • Controllo degli accessi. Metodi per definire ed attribuire profili degli utenti. Specificare i mezzi di autenticazione implementati. Se applicabili specificare le regole per le password (lunghezza minima, caratteri richiesti, durata della validità, numero di tentativi prima del blocco dell’account etc.).
  • Tracciabilità. Politiche che definiscono la tracciabilità la gestione dei file di log.
  • Archiviazione. Se applicabile, descrivere qui i processi di gestione dell’archivio (consegna, archiviazione, consultazione etc.) sotto la tua responsabilità. Specificare i ruoli relativi all’archivio (ufficio di origine, agenzie di trasferimento etc.) e la politica di archiviazione. Stabilisci se i dati possono rientrare nel contesto degli archivi pubblici.
  • Sicurezza dei documenti cartacei. Dove sono conservati i documenti cartacei contenenti dati utilizzati durante il trattamento, indicare qui come sono stampati, archiviati, distrutti e scambiati.
  • Minimizzazione della quantità di dati personali. Si possono utilizzare i seguenti metodi: filtraggio e rimozione, riduzione della sensibilità attraverso la conversione, ridurre la natura identificativa del dato, ridurre l’accumulazione dei dati, limitare l’accesso ai dati
Controlli di sicurezza fisici
  • Vulnerabilità. Politiche volte a limitare la probabilità e la gravità dei rischi per le risorse utilizzate durante l’operatività e procedure operative documentali, inventario e aggiornaemnto di software e hardware, affrontare vulnerabilitଠduplicare i dati, limitare l’accesso fisico al materiale etc.).
  • Lotta contro il malware. Misure per proteggere l’accesso a reti pubbliche (internet) o non controllate (di partner) nonché postazioni e server contro malware che potrebbe compromettere la sicurezza dei dati.
  • Gestione postazioni. Misure adottate per ridurre la possibilità che le caratteristiche del software (sistemi operativi, applicazioni aziendali, software per ufficio, impostazioni etc.) vengano sfruttate per danneggiare i dati personali (aggiornamenti, protezione fisica e accesso, lavoro su uno spazio di rete di backup, controlli di integrità logging etc.).
  • Sicurezza dei siti web. Implementazione deIle raccomandazioni ANSSI per la sicurezza dei siti web.
  • Backup. Politiche e mezzi implementati per assicurare la disponibilità o l’integrità dei dati personali, mentre si mantiene la loro confidenzialità,
  • Manutenzione. Esistenza di una politica di manutenzione fisica dell’attrezzatura, specificando l’eventuale ricorso al subappalto.Dovrà inquadrare la manutenzione remota se è autorizzata e specificare i metodi di gestione dei materiali difettosi.
  • Contratti di trattamento
    • Regolare i rapporti di approvvigionamento (es. responsabile trattamento dati, responsabile protezione dei dati, servizi cloud, ecc) tramite un contratto firmato intuitu personae
    • Richiedere al fornitore di inoltrare la sua politica di sicurezza dei sistemi informativi insieme a tutti i documenti di supporto delle sue certificazioni di sicurezza delle informazioni e allegare tali documenti al contratto. Garantire che le misure siano conformi alla propria politica di sicurezza ed alle raccomandazioni dell’autorità garante.
    • Determinare e fissare in modo preciso, su base contrattuale, le operazioni che il responsabile del trattamento potrà eseguire sui dati personali:
      1. I dati a cui avrà accesso o che gli saranno trasmessi.
      2. Le operazioni che deve eseguire sui dati.
      3. La durata per la quale può memorizzare i dati.
      4. Tutti i destinatari a cui il responsabile del trattamento potrà trasmettere i dati.
      5. Le operazioni da eseguire al termine del servizio (cancellazione permanente dei dati o restituzione dei dati nel contesto della reversibilità quindi distruzione di dati).
      6. Gli obiettivi di sicurezza stabiliti dal titolare del trattamento.
    • Determinare, su base contrattuale, la ripartizione delle responsabilità in merito ai processi legali volti a consentire agli interessati di esercitare i propri diritti.Esplicitamente vietare o regolare l’utilizzo di fornitori di secondo livello.
    • Chiarire nel contratto che il rispetto degli obblighi di protezione dei dati è un requisito vincolante del contratto.
  • Sicurezza della rete. A seconda del tipo di rete sulla quale il trattamento è effettuato (isolata, privata o internet), Specificare il firewall, le sonde di rilevamento intrusione o altri dispositivi (attivi o passivi) che sono responsabili di garantire la sicurezza della rete.
  • Controllo degli accessi fisici. Politiche per assicurare la sicurezza fisica (zonizzazione, accompagnamento, uso di tornelli, porte chiuse e così via). Indicare se sono in atto procedure di avviso in caso di irruzione.
  • Monitoraggio dell’attività della rete. Esistenza di misure messe in atto per essere in grado di rilevare tempestivamente incidenti relativi a dati personali e di disporre elementi utilizzabili per studiarli o fornire elementi di prova nel contesto delle indagini (politica di registrazione eventi, rispetto degli obblighi di protezione dei dati etc.)
  • Sicurezza dell’hardware. Esistenza delle misure adottate per ridurre la possibilità che le caratteristiche delle apparecchiature (server, postazioni fisse, portatili, periferiche, dispositivi di comunicazione, supporti rimovibili etc.) vengano utilizzate per danneggiare i dati personali (inventario, compartimentalizzazione, ridondanza, limiti per l’accesso etc.)
  • Evitare le fonti di rischio. Esistenza di misure per prevenire le fonti di rischio, umane o non umane, che possono essere incontrate a scapito dei dati personali (merci pericolose, aree geografiche pericolose, trasferimento dati al di fuori dell’UE etc.)
  • Protezione contro fonti di rischio non umane. Esistenza di misure per ridurre o evitare i rischi connessi a fonti non umane (fenomeni climatici, incendio, danni provocati dall’acqua, incidenti interni o esterni, animali, etc.) che potrebbero influire sulla sicurezza dei dati personali (misure preventive, rilevamento, protezione etc.)

Documenti che è necessario redigere

  • Atto di designazione del Titolare della Protezione dei Dati
  • Lettera di incarico al Responsabile
  • Nomina incaricato al trattamento dati (amministrativo, tecnico,vendite, ecc)
    • Registro dei Trattamenti
  • Valutazione di impatto e rischio del trattamento (DIPA)
    • Documento tecnico di rete (allegato alla DPIA)
    • Disaster Recovery Plan (allegato alla DPIA)
    • Linee Guida operative e Linee Guida della sicurezza
  • Informativa del Trattamento e Consenso al Trattamento ed informativa all’Interessat
  • Lista di Controllo (Checklist) (allegato alla DPIA)

Consenso al Trattamento ed Informativa

Così come recita l’Articolo 4 :

«consenso dell’interessato»: è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

Nel rispetto dei Diritti dell’Interessato, il consenso deve essere:

  1. inequivocabile;
  2. libero;
  3. specifico;
  4. informato;
  5. verificabile;
  6. revocabile.

Nella Informativa al trattamento vanno specificati e descritti almeno i seguenti punti:

  1. Scadenza – Il consenso non è illimitato nel tempo; pertanto l’Interessato deve essere informato della durata e della conservazione dei dati. Alla data di scadenza, i dati dell’Interessato andranno distrutti i resi anonimi (anonimizzati).
  2. Dati Identificativi e Sensibili – Nel consenso deve essere specificata la categoria di dati per il quale l’Interessato sta dando il consenso.
  3. Minori – In caso di minori di 16 anni Il consenso al Trattamento è raccolto non dal minore, ma dai genitori o da chi ne fa le veci.

Nel caso di un sito web, il Titolare può predisporre il consenso nelle pagine di Privacy Policy & Cookie Policy, oltre ad eventuali rimandi dalla pagina dei Termini e Condizioni.

Disclaimer nei messaggi Email

Il GDPR è molto preciso circa le modalità di ottenimento del consenso da parte dell’Interessato prima che questo venga contattato e che quindi vengano impiegati i suoi dati personale per contattarlo.

Infatti, contattando una persona tramite una email ed apponendo un Disclaimer in calce al messaggio che richiami il GDPR è in realtà un controsenso, in quanto se si è già ottenuto il consenso il Disclaimer non ha alcun valore. Vice versa, se non si è ancora ottenuto il consenso, quel messaggio email indica implicitamente che si sta inviando un messaggio senza il preventivo consenso.

In sintesi; se si è ottenuto il consenso al trattamento di dati dell’Interessato per inviare a questi un messaggio email, non è necessaria la presenza di un Disclaimer.

Anche se su questo argomento ci sono ancora pareri discordanti, un Disclaimer appropriato in calce ai messaggi email, può essere potenzialmente simile a quello riportato qui sotto come esempio:

Stai ricevendo questo messaggio email da noi poiché hai optato per ricevere nostre comunicazioni il nostro sevizio di newsletter. Se desideri non ricevere più questo tipo di nostre comunicazioni, Clicca qui per cancellare la tua iscrizione a questo servizio o per modificare i tuoi dati e le tue preferenze.

È tuttavia importante sottolineare che è necessario assicurarsi di avere ottenuto il consenso dell’Interessato prima di inviare a questi qualsiasi tipo di comunicazione, sia cartacea, sia digitale.

Concludendo

Condensare 190 pagine del documento del garante Privacy Italiano in un singolo articolo di questo blog, sarebbe impossibile. Ho solo cercato di fare una estrema sintesi degli argomenti principali che possano essere un valido punto di partenza per questo delicato argomento.

Vorrei ancora una volta qui sottolineare, quanto sia comunque importante, per gli addetti ai lavori, prendere sempre come riferimento assoluto il documento originale del Garante della Privacy. Poiché quello è l’unico documento ufficiale al quale si farà riferimento nell’infelice caso in cui si verrà sottoposti ad un controllo.

Lungi, quindi, dall’essere questo un articolo risolutivo, mi auguro che ti sia utile come buon punto di partenza per affrontare il vasto (e talvolta, spinoso) argomento del GDPR.

Per qualunque perplessità o argomento, non chiaro,  aspetto i tuoi commenti ai quali cercherò di rispondere nel più breve tempo possibile.

 

Condividi:
Massimo Di Primio
Sistemista informatico di lungo corso, appassionato di tecnologia. Da molti anni sviluppo software per applicazioni professionali con l'intento di renderle più sicure e fruibili all'utente. Consulente informatico e fondatore di Diprimio.com, per il supporto, l'assistenza e la manutenzione di infrastrutture informatiche a clienti business.
Contenuti Sponsorizzati