Il Regolamento Europeo n. 679/2016 sulla protezione dei dati personali, noto come GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016, e diverrà direttamente applicabile dal 25 maggio 2018 (termine ultimo di adeguamento), abrogando la Direttiva 95/46/CE.
Il GDPR ribalta completamente la disciplina sulla privacy, incentrando il quadro normativo sulla responsabilizzazione del Titolare del trattamento (“accountability”), che dovrebbe essere in grado di dimostrare la propria conformità al Regolamento attraverso l’adozione di misure tecniche ed organizzative. Principi chiave rimangono la liceità del trattamento, possibile solo se l’interessato ha espresso un esplicito consenso, oltre che di proporzionalità, adeguatezza, pertinenza e non eccedenza dei dati rispetto alle finalità per cui vengono trattati.
Particolare rilevanza assumono, quindi, i diritti dell’interessato (Informativa sul trattamento; indicazioni sulla finalità del trattamento; eventuali destinatari/utilizzatori dei dati; ilperiodo di conservazione dei dati, la rettifica o cancellazione degli stessi; accesso ai dati; portabilità dei dati;diritto di opposizione).
Al fine di fornire una prima risposta agli orientamenti del Garante, la PA deve avviare con assoluta priorità:
- la designazione del DPO (Data Protection Officer)
- l’istituzione del Registro delle attività di trattamento
- la procedura per la notifica delle violazioni dei dati personali (data breach)
- la valutazione d’impatto da violazioni (DPIA – Data Protection Impact Assessment).
A supporto e completamento delle azioni prioritarie, Leonardo ha predisposto una struttura di GDPR readiness, che può assistere la PA nell’adozione di un Sistema di Governance della Privacy strutturato, in grado di garantire una gestione efficace ed efficiente dei requisiti normativi in ottica di continuo miglioramento. L’implementazione di un Sistema di Governance di questo tipo dovrà essere basata almeno su tre fasi operative.
La prima fase di GDPR – Assessment comprende un Privacy Assessment per effettuare, in particolare, una mappatura dei trattamenti e dei ruoli, al fine di ottemperare alle disposizioni previste dal GDPR, progettare l’implementazione di un Sistema di Governance della Privacy strutturato in grado di accrescere il livello di protezione dei dati, con riguardo alle categorie di dati particolari.
Le informazioni da rilevare riguardano le finalità dei trattamenti, le categorie degli interessati, le categorie di dati trattati, i destinatari di comunicazione di dati, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, i trattamenti in cui i dati sono comunicati a destinatari di Paesi terzi ovvero di organizzazioni internazionali, i ruoli e responsabilità per i trattamenti e le misure di sicurezza tecniche/organizzative adottate per la protezione dei dati.
Tali informazioni costituiscono le basi per ildocumento “Registro delle attività dei trattamenti di dati personali”,che costituirà l’elenco aggiornato di tutti i trattamenti effettuati dall’Amministrazione.
Nella seconda fase di GDPR – Design si procederà, sulla base delle informazioni acquisite nella precedente fase, a definire il Modello Organizzativo Privacy con l’individuazione delle figure coinvolte nel trattamento dei dati (Titolare, Contitolare, DPO, Responsabili, ecc..) e dei relativi ruoli e responsabilità nonché a disegnare i processi diPrivacy by design e by default, Privacy Impact Assessment e Notifica dei Data Breach. Nel disegnare detti processi si valuteranno anche le tecnologie ed i servizi Cyber Security a supporto. Si pensi al riguardo ai servizi di sicurezza gestiti, ivi compresi quelli di Threat Intelligence volti ad assicurare una corretta e tempestiva notifica proprio dei Data Breach.
In particolare, il GDPR disciplina l’obbligo di assicurare che le misure adottate attuino efficacemente i principi di privacy by design (protezione dei dati fin dalla progettazione) e privacy by default (impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate).
Il GDPR prevede un approccio risk based. È necessario effettuare un Privacy Impact Assessment, ovvero una valutazione dei rischi per i trattamenti previsti. L’implementazione delle misure di sicurezza adottate terrà conto dell’analisi dei rischi e dei costi di attuazione, per organizzazioni anche complesse ed eventualmente armonizzato con il processo di Risk Management, se esistente.
Gli obblighi di notifica, salvo le esclusioni di legge, seguente a data breach vengono estesi a qualsiasi caso in cui vi sia violazione dei dati personali,con l’obbligo di darne comunicazione all’interessato, salvo limitazioni, nel caso in cui vi sia rischio elevato per i diritti e le libertà dello stesso.
Per ottemperare alla terza fase – GDPR – Implementation & Data Protection Management – occorre predisporre servizi per:
- Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio
- Gestione e manutenzione delle procedure di data protection
- Attività del DPO e dei responsabili del trattamento
- Esecuzione Audit privacy.
- Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio
- Erogazione servizi di sicurezza gestiti, di Threat Intelligence e di sicurezza applicativa volti a garantire il rispetto delle misure di sicurezza prescritti dall’art. 32 del GDPR.
Mappati i trattamenti ed i flussi di dati, definita la struttura organizzativa per la protezione dei dati, identificati i processi e le policy, occorre infine gestire in via continuativa il sistema di protezione e gli obblighi di protezione, attraverso la revisione periodica dei processi privacy e delle procedure.
E’ necessaria l’attivazione di un processo di verifica, denominato anche di Audit, degli adempimenti relativi al nuovo GDPR con particolare attenzione alla verifica di tutte le misure tecniche ed organizzative adottate, inclusa la documentazione, le registrazioni da conservare a prova del rispetto e dell’applicazione del principio di “accountability” del titolare e dei responsabili.
Ma come avviare questo percorso di adeguamento? Strumento tra i più agibili per la PA per attivare questa trasformazione radicale è la Convenzione SPC Lotto 2 – Servizi di Identità Digitale e Sicurezza Applicativa, che fornisce tutti gli elementi contrattuali per poter avviare da subito, tra gli altri servizi, il percorso di adeguamento al GDPR.
Molti Enti Centrali e Locali stanno lanciando Progetti dei Fabbisogni contrattualizzati in ambito SPC Cloud Lotto 2, utilizzando e configurando specifici servizi per il GDPR: Data LossPrevention, Servizi Professionali, RiskAssessment.
La PA si trova quindi ad affrontare l’adempimento normativo comunitario, con un’opportunità unica e irripetibile di rivedere completamente la propria strategia di trattamento dell’informazione, includendo politiche di data retention, conservazione digitale e ammodernamento in chiave digitale dei processi amministrativi.
