Abbiamo appena superato la fine del mondo e non ce ne siamo nemmeno accorti. Stavolta a predirla non sono stati i Maya, non è stato Nostradamus: bensì l’Europa.
Il 25 maggio 2018 è alle spalle, il GDPR è finalmente a pieno regime. Siamo tutti ancora qui sani, salvi. O quasi.
End of an Era? Maybe.
Forse è la fine dell’Era in cui i grandi del Web[1] giostrano con i nostri dati, utilizzandoli nei modi più disparati e scambiandoseli in maniera totalmente incontrollata.
Forse è la fine di tutti quei moduli contenenti trafiletti scritti con caratteri smisuratamente piccoli, precompilati e pieni di asterischi.
Sicuramente è la fine della sconsideratezza, dal punto di vista informatico.
La fine delle password sui post-it
La fine dei giorni in cui un lavoratore smarrisce distrattamente una PenDrive nella quale sono memorizzati in chiaro i dati dei propri clienti, incurante dei pericoli che ne potrebbero conseguire.
La fine della cifra “zero” sulla riga dei capitoli di spesa relativi alla sicurezza IT.
La fine del “non sapevo”, “io di computer non ne capisco nulla”, “ho solo aperto la mail”.
Ignorantia legis non excusat!
L’articolo si limiterà a porre delle considerazioni riguardo il GDPR, dando per assodato che il lettore sia già edotto sulla materia.
Un po’ di storia di data protection
La tutela dei dati personali non nasce con il GDPR; esiste dal 1995, ed è disciplinata dalla
Direttiva CE 95/46[2]. Data la natura intrinseca del dispositivo, si è notato che per il cittadino europeo vi è una perdita della certezza del diritto, imputabile al trattamento diversificato subordinato alla legge di adozione relativa allo stato in cui viene a compiersi un determinato fatto.
Il Regolamento UE 2016/679 è un atto legislativo vincolante applicato imperativamente da tutti i membri dell’UE. I 63 punti di recepimento, a carico dei singoli paesi, riguardano il perfezionamento delle sanzioni in caso di violazione della normativa.
Va inoltre ricordato che il principio della preminenza del diritto comunitario si sostanzia nella prevalenza di quest’ultimo sulle norme interne con esso contrastanti, sia precedenti che successive, anche di rango costituzionale.
Il tortuoso recepimento italiano
Il GDPR è in vigore dal 24/05/2016. Nonostante l’efficacia differita di 2 anni, il nostro governo ha dato delega per adeguare, non abrogare, il quadro normativo nazionale (196/2003) solamente ad ottobre 2017. Il 10/05 u.s. il Governo ha inviato al Parlamento uno schema di Decreto Legislativo volto ad ottenere un parere entro il 21/05 u.s.. Così non è stato, con conseguente slittamento del termine al prossimo 21 agosto.
Senza effettuare particolari elucubrazioni, la domanda da porsi è:
“È assolutamente necessario per la mia attività raccogliere, archiviare e manipolare dati personali per mandare avanti il mio business?”
| NO | SI | |
| Artigiano che produce e vende al dettaglio, in cui eventuali dati trattati sono relativi ai soli dipendenti | Attività che tratta dati personali di soggetti terzi, diventandone automaticamente titolare, quindi responsabile |
Chi è sanzionabile
Malgrado la pronuncia di inverosimili ipotesi in merito, il Titolare, amministrativamente e giuridicamente, è il responsabile ultimo del trattamento dei dati secondo la normativa.
Stesso discorso vale, amministrativamente, per il RdT. Risponderà, per il danno causato dal trattamento solo se non ha adempiuto correttamente agli obblighi sanciti, o se ha agito in modo difforme o contrario rispetto alle istruzioni fornite dal Titolare del trattamento.
Infine, malgrado alcuni affermino il contrario, le sanzioni economiche stabilite dal GDPR non sono mai attribuibili direttamente al DPO.
Diversamente, il DPO è sanzionabile come qualsiasi dipendente: eventuali ripercussioni amministrative seguiranno i meccanismi di rivalsa interna. Ad ogni modo, un profilo di responsabilità penale in capo al DPO permane, nel caso in cui sia proprio la condotta dello stesso a determinare l’evento dannoso.
GDPR for Dummies
Il Titolare
Colui che realmente determina le finalità e i mezzi per i vari trattamenti.
Il Responsabile del trattamento
Preferibilmente esterno[3], è altamente sconsigliato che sia lo stesso Titolare.
Deve essere in grado effettuare l’assessment delle attività, di analizzare i rischi derivanti dal proprio trattamento e di porre in essere contromisure pertinenti al rischio rilevato, mantenendo aderente la propria copia del registro con quella detenuta dal Titolare.
Il DPO
È identificabile in un Internal Auditor specializzato sia in ambito Assurance, che in ambito Compliance:
| Assurance | Compliance | |
| Attività volta al miglioramento dell’efficacia e dell’efficienza dell’organizzazione attraverso la valutazione dei processi aziendali. Obiettivo dell’attività è fornire al Titolare una valutazione di affidabilità sul sistema di controllo verso i trattamenti in essere | Funzione che identifica costantemente le norme relative al trattamento, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone l’impatto |
Più che un “Officer”, sarebbe stato opportuno parlare di “Office”. Analizzando tale mansione in aziende di grandi dimensioni, è verosimile considerare la realizzazione di un ufficio incaricato nella verifica delle pratiche di conformità.
Tale ruolo può essere gestito all’interno dell’azienda o essere affidato ad un fornitore di servizi. L’importante è che il DPO sia posizionato nell’organigramma in modo da essere imparziale e non influenzabile (art. 38, par. 3, considerando 97).
È una “professione non regolamentata”: diffidare quindi da eventuali certificazioni che lo stesso possa vantare. Pur rappresentando un valido strumento per la verifica del possesso di un livello minimo di conoscenza della disciplina, non sono una abilitazione allo svolgimento del ruolo.
È di fondamentale importanza diffidare da fornitori di servizi che offrono servizi di DPO a prezzi grottescamente bassi. Il DPO è un revisore altamente qualificato, che si occupa in maniera esclusiva e continuativa della data protection: è pertanto impensabile ritenere veritiera una qualsiasi offerta che preveda un simile impegno a basso costo[4].
In tal senso il Garante considererà estremamente negativo ogni danno causato da inadempimenti derivati dall’erronea scelta del DPO, condannando categoricamente la “culpa in eligendo”.
La Sicurezza IT
Da non sottovalutare è la necessità di dover adeguare o, nel peggiore dei casi, mettere in piedi da zero l’architettura di sicurezza IT.
Processi e procedure
Per evitare un Data Breach non basta acquistare soluzioni GDPR-Compliant: servono processi e procedure di incident prevention/detection/response, disaster recovery e business continuity.
Spesso, quanto elencato è totalmente assente o inadeguato: quante volte un SOC rileva un evento non classificabile che richiede l’intervento del management, con conseguente perdita di tempo? Cosa accade in questo lasso di tempo? A quale esposizione si è sottoposti?
Il GDPR rimarca quindi intrinsecamente l’importanza dei CERT/CSIRT: la necessità di una Governance dei Sistemi IT.
Il fattore umano, vero anello debole
Quando si parla di sicurezza, è noto che il fattore umano è l’anello debole della catena. Un dipendente, non sufficientemente preparato è spesso complice inconsapevole dei pirati informatici. Basti pensare al malware WannaCry, eseguito a seguito della ricezione di un’email di Phishing.
Con il GDPR, i risvolti di tali attacchi potrebbero avere risvolti ben peggiori:
Nel caso in esame, un device contenente dati sensibili risulterebbe cifrato con una chiave che è nelle mani di un utente sconosciuto e non addetto al trattamento.
Dati esfiltrati: Data Breach.
Crittografia
Nonostante il GDPR non preveda delle misure minime, si indicano la cifratura di dati ed archivi e la pseudonimizzazione delle informazioni come tecniche ideali la protezione dei dati.
In questo modo una fuga di dati implica che le informazioni reperibili siano visibili ma totalmente incomprensibili e destrutturate.
Memorizzazione
Si pensi alla violazione di un server o allo smarrimento di un device: nessun soggetto entrato in possesso dei dati, sarà in grado di comprenderli dal momento che algoritmi e tecnologie li hanno resi illeggibili.
Trasmissione
Ulteriore problema riguarda la condivisione file tra soggetti. Vi è qui la necessità di istanziare procedure che permettano lo scambio di informazioni tramite canali sicuri. Le soluzioni possono implicare l’utilizzo di crittografia simmetrica/asimmetrica o software dedicati. L’importante è che la riservatezza del dato in transito su canale non sicuro sia preservata.
Cloud
Particolare attenzione deve essere posta per i dati gestiti tramite infrastrutture esterne all’organizzazione. I cloud provider devono garantire il trattamento in conformità al GDPR. CISPE è l’iniziativa lanciata dai fornitori europei per garantire soluzioni in linea con gli obblighi imposti dal GDPR.
Le sanzioni
Va sottolineato che le sanzioni dichiarate sono da considerarsi dei massimali: non è realistico imporre tali provvedimenti verso realtà minori.
Il GDPR prevede ipotesi di mitigazione della gravità, fino a limitarla ad un mero ammonimento, e proroghe, con un rinvio massimo dei controlli di 30gg, se:
- vi è un buon grado di cooperazione con l’autorità di controllo;
- vi è una effettiva volontà di cercare di rimediare al danno cagionato;
- sono stati affrontati i più critici adempimenti tecnologici;
- lo sforzo in termini di investimenti per l’adeguamento è considerato adeguato.
Chi ci guadagna col GDPR
Sicuramente il Garante: occorre rammentare che quest’ultimo si finanzia con il 50% del ricavato dalle multe incassate.
Le imprese: il regolamento comporterà un miglioramento nella Governance dei dati ed un naturale aumento delle capacità informatiche per effetto dell’adeguamento.
Indirettamente, per quanto detto, i clienti.
I grandi vendor che, sull’onda della rincorsa alla Compliance, spacciano i propri prodotti GDPR-Compliant.
Situazione alquanto bizzarra: è come se i produttori di Antivirus, Firewall, etc., abbiano commercializzato finora prodotti inadeguati. In realtà, prodotti conformi al regolamento esistono da sempre; diffidare quindi da slogan e titoli ad effetto.
I DPO: gli Auditor, gli esperti di informatica giuridica ed altre figure professionali che si sono identificate in questo nuova ruolo.
Chi ci perde
Il GDPR obbliga nell’immediato chi non ha mai tenuto in considerazione il corretto trattamento dei dati personali a rivedere da zero la propria infrastruttura informatica.
Data Protection e Compliance sono i nuovi modelli sui quali porre l’attenzione. Essi richiedono processi e procedure di gestione degli adempimenti tecnologici e normativi con verifica costante nel tempo.
Di seguito alcune ipotesi di attività che potrebbero evidenziare criticità rispetto alla nuova normativa:
| Ambito | Scenario | Problematiche |
| Sanitario | Studio dentistico | Sistema informatico arcaico Dati non crittografati |
| Finanziario | Agente in attività finanziaria | Conservazione e trasmissione dati senza meccanismi che ne salvaguardino la riservatezza |
| Commerciale | Franchising | Emissione di carte di fidelizzazione |
| Gestionale | Amministratore di condominio | Titolare ma non automaticamente responsabile del trattamento: necessità di nomina in assemblea condominiale |
Come risolvere
Sensibilizzazione.
Secondo lo scrivente, già dal lontano 2016 una possibile soluzione sarebbe potuta consistere in una comunicazione, da parte degli organi preposti verso ogni possessore di partita iva, contenente l’obbligo di presenza del Titolare ad incontri e/o seminari ah-hoc inerenti alla nuova normativa.
Attualmente si può far altro che correre ai ripari, cercando di sensibilizzare quante più categorie professionali possibili. Nonostante in alcuni ambiti si sta già provvedendo ad effettuare questa attività, una gran parte dell’imprenditoria è totalmente ignara del pericolo che sta correndo.
Purtroppo quello che al momento ci rimane è una montagna di spam riguardante il GDPR, che potrebbe diventare vettore di nuove pericolose insidie.
_______________________________________________
Google, Facebook, Amazon, etc… ↑
Direttiva: atto legislativo che stabilisce un obiettivo che tutti i paesi dell’UE devono realizzare. Spetta ai singoli paesi definire, tramite disposizioni nazionali, come tali obiettivi vadano raggiunti. ↑
Persona fisica, giuridica, PA/Ente ↑
Ogni offerta al di sotto dei 50€ per persona/annui è da considerarsi insensata. ↑
