Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
1. Privacy: come cambia la regolamentazione della
materia con il nuovo GDPR
Avv. Fabio U. Ferrara
1
2. Contesto di riferimento e Data Breach
2016: peggiore anno per la sicurezza dei dati, con una considerevole crescita dei
problemi e degli incidenti di sicurezza in campo tecnologico e informatico.
1050: numero di incidenti noti, rilevati nel corso del 2016, classificati come gravi
(Rapporto Clusit 2017).
Per incidenti gravi si intendono quelli con conseguenze significative per le vittime
in termini di danno economico, di reputazione o di diffusione di dati sensibili.in termini di danno economico, di reputazione o di diffusione di dati sensibili.
Attenzione: si tratta di incidenti noti, cioè resi di pubblico dominio o per obblighi di
divulgazione o per dimensione tale da non poter passare inosservati. Vi è
un’enorme quantità di incidenti e problemi di sicurezza che non vengono divulgati
pubblicamente. Il dato è sufficiente per comprendere la criticità della situazione.
2
3. Data breach 2017
PRIMO SEMESTRE
2017
✓ 918 violazioni
✓ 1,9 miliardi di record
compromessi in tutto il
mondo
✓ rispetto agli ultimi
3
✓ rispetto agli ultimi
sei mesi del 2016, il
numero di record rubati
o compromessi è
aumentato del 164%
Ci si aspetta che l’entrata in vigore del Regolamento GDPR e il conseguente obbligo
di notifica dei data breach faranno aumentare sensibilmente i numeri
Fonte: Gemalto’s Breach Level Index
4. Caso 1 | Perdita di dati aziendali
• Società di consulenza
• gestione di grosse moli di dati di terzi
Cos’è successo?
attacco informatico con blocco dell’accesso al
server e ai computer collegati
l’attaccante chiede che siano versati dei soldi
per riottenere l’accesso ai dati (attacco con
riscatto - ransomware)
Perché è successo?
Insufficiente valutazione dei rischi
Mancanza di adeguata protezione contro
accessi illeciti
4
5. Caso 2 | Perdita di dati aziendali
• Azienda produttiva con sedi anche
all’estero
• Sistema informatico gestito da personale
interno con frequente turnover
Una mattina…
il server di posta non risponde più
il file server non risponde più
Il gestionale non risponde più
i file locali spariscono
il backup risulta inutilizzabile
5
6. Caso 1 | Perdita di dati aziendali
Com’è successo?
Un ex dipendente (reparto IT) si è introdotto illecitamente sul server di una delle
sedi aziendali e:
• è entrato nel centro stella
• ha fermato e cancellato le virtual machine
• ha cifrato il backup• ha cifrato il backup
• ha causato la cancellazione di tutti i documenti su tutti i pc che si collegavano in
rete
Perché è successo?
• password amministrative mai modificate
• sistemi di monitoraggio assenti
• sistemi di sicurezza non adeguati
6
7. Contesto
La diffusione di trattamenti dei dati che per natura, oggetto o finalità possono
presentare rischi per i diritti e le libertà degli interessati ha reso necessaria la
riforma di una normativa basata sulla Direttiva CE 95/46 di oltre 20 anni fa, scritta
per un’epoca in cui la maggioranza degli scambi avveniva per corrispondenza con
fax e francobolli.
Le nuove regole mirano ad adeguare le norme di protezione ai cambiamentiLe nuove regole mirano ad adeguare le norme di protezione ai cambiamenti
determinati dall’evoluzione delle tecnologie e dal mutamento degli scenari sociali ed
economici:
✓dato personale come asset con valore economico
✓ dati personali oggetto di trattamento con nuove tecnologie per differenti finalità
✓ evoluzione tecnologica dirompente con Big Data, Cloud, Geolocalizzazione,
Social, Videosorveglianza, Biometria,etc.
7
8. Regolamento 2016/679 (GDPR)
✓ Abroga la Direttiva 95/46/CE
✓ Direttamente applicabile negli Stati Membri senza bisogno di
recepimento da parte dei singoli ordinamenti nazionali
✓ «Standardizza» ed unifica il quadro normativo della data protection a«Standardizza» ed unifica il quadro normativo della data protection a
livello comunitario, eliminando asimmetrie e “barriere” create nel
tempo da normative nazionali frammentarie e diverse tra loro, con
ostacolo alla circolazione dei dati tra un paese e l’altro
✓ Entra in vigore il 25 maggio 2018 per tutte le organizzazioni che
operano nel mercato UE e che nell’ambito del loro business trattano
dati personali
9. Ambito di applicazione
Il Regolamento si applica:
• alle imprese che abbiano un proprio stabilimento nell’Unione
Europea, indipendentemente dal fatto che il trattamento sia effettuato
o meno nell’Unione Europea;
• al trattamento di dati personali di interessati che si trovano nell’UE• al trattamento di dati personali di interessati che si trovano nell’UE
anche se effettuato da imprese che non hanno uno stabilimento
nell’UE nel caso in cui offrono beni o servizi nell’Unione o
monitorano i comportamenti di interessati all’interno dell’Unione.
9
10. Principali novità per le imprese
Radicale ribaltamento di prospettiva
• Codice della Privacy (D.Lgs. 196/2003): elenco
delle misure minime di sicurezza (allegato B del
Codice) - principio “si è sicuri se si è conformi”
• GDPR: spariscono le misure minime - tocca
all’ente determinare quale sia il corretto livello di
sicurezza da adottare per essere conforme al
Regolamento - principio “si è conformi se si è
sicuri”
Si passa da una conformità statica a una conformità
dinamica.
10
11. Principali novità per le imprese
Radicale ribaltamento di prospettiva
Al Titolare (e al Responsabile) del trattamento è richiesto:
• di pensare il trattamento di dati personali in un’ottica che ne preveda• di pensare il trattamento di dati personali in un’ottica che ne preveda
una protezione fin dalla progettazione (data protection by design e
by default);
• di dimostrare e, quindi, documentare con evidenze oggettive in ogni
momento, la propria conformità al Regolamento (accountability).
11
12. Principali novità per le imprese
Data protection by design
Data protection by defaultData protection by default
Accountability
12
13. Privacy by design
«Protezione dei dati fin dalla fase di progettazione»: quando un tipo di
trattamento, considerati la natura, l'oggetto, il contesto, le finalità e l'uso di
nuove tecnologie, può presentare un rischio per i diritti e le libertà degli
interessati, il Titolare del trattamento, sia nella scelta dei mezzi del trattamento
sia all'atto del trattamento stesso, adotta misure tecniche e organizzativesia all'atto del trattamento stesso, adotta misure tecniche e organizzative
adeguate per ridurre al minimo i rischi del trattamento:
✓ Fase di Progettazione
✓ Software Selection
✓ Risk Assessment
✓ Processi
13
14. Privacy by Default
«Protezione dei dati per impostazione predefinita»: il Titolare del trattamento
deve mettere in atto misure tecniche e organizzative adeguate per garantire che
siano trattati, per impostazione predefinita, solo i dati personali necessari per
ogni specifica finalità del trattamento (principi di minimizzazione, necessità e
pertinenza).
Ciò vale per:Ciò vale per:
✓ la quantità dei dati raccolti (deve essere coerente con le finalità del
trattamento)
✓ il periodo di conservazione (deve essere impostato a monte in funzione delle
finalità)
✓ l’accessibilità (non deve consentirsi l’accesso a un numero indefinito di
persone)
14
15. Accountability (Responsabilizzazione)
✓ Assicura, dimostra, comprova
è richiesto a Titolare e Responsabile di adottare un apparato di misure tecniche e
organizzative adeguate per garantire che il trattamento sia effettuato in conformità al
Regolamento ed essere in grado di dimostrarlo e comprovarlo.
✓ Onere della prova della compliance normativa in capo al Titolare
Il Titolare deve precostituire un apparato documentale per dimostrare di avere adottatoIl Titolare deve precostituire un apparato documentale per dimostrare di avere adottato
gli adempimenti, le procedure e le misure opportune per eliminare o ridurre al minimo i
rischi. L’adesione a codici di condotta o meccanismi di certificazione aiuta -ma non
basta- a dimostrare la conformità.
✓ Conservazione della documentazione
Il Titolare ha l’obbligo di conservare la documentazione di tutti i trattamenti effettuati
sotto la propria responsabilità.
15
16. Adeguarsi al GDPR: i 7 passi da fare
1. Identificare i principali rischi a cui è esposta l’organizzazione, in
relazione alla tipologia di dati trattati ed alle tipologie di trattamenti svolti;
2. individuare i gap dei processi di gestione aziendali rispetto ai requisiti
previsti dalla normativa;
3. programmare un piano di intervento mirato per attuare processi e
misure di gestione della Privacy;misure di gestione della Privacy;
4. adeguare la struttura organizzativa interna e i rapporti con i soggetti
esterni (contitolari o responsabili del trattamento dati) ai requisiti privacy
del Regolamento;
5. predisporre la documentazione per dimostrare la propria conformità alle
regole;
6. predisporre o adeguare la modulistica con i clienti/utenti;
7. formare il personale.
17. Come fare per mettersi in regola:
gli adempimentigli adempimenti
17
18. Creare il Dossier Privacy
18
Costituisce il “corpo” dell’adeguamento: contiene -in un
contesto sistematico- la documentazione delle scelte a
carico del Titolare (o del Responsabile) del trattamento.
19. Predisporre il Registro dei Trattamenti
Documento che contiene la mappatura dei trattamenti cui sono sottoposti i dati
gestiti dall’ente.
Sono obbligati a tenere ed aggiornare il Registro tutti i Titolari/Responsabili del
trattamento:
• che abbiano più di 250 dipendenti,
• con meno di 250 dipendenti, il cui trattamento presenti rischi per i diritti e le libertà
degli interessati, non sia occasionale o riguardi speciali categorie di dati (dati
sensibili e biometrici).
La tenuta del Registro è obbligatoria anche per i Responsabili, i quali dovranno
avere un impegno contrattuale con il Titolare ai fini dell’accountability.
19
20. Registro dei trattamenti
Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito
su richiesta del Garante.
Raccomandazioni del GaranteRaccomandazioni del Garante
“Si invitano tutti i Titolari e i Responsabili dei trattamenti, a prescindere dalle
dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale
Registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti
svolti e delle rispettive caratteristiche”
20
21. Strutturare la sicurezza del trattamento
(art. 32 GDPR)
La sicurezza privacy ha l’obiettivo di garantire l’integrità dei dati e la difesa
degli stessi da attacchi esterni: obiettivo non fine a se stesso ma
strumentale alla finalità ultima di protezione della persona fisica.
21
strumentale alla finalità ultima di protezione della persona fisica.
La sicurezza privacy è un adempimento composto da molti sub
adempimenti, che riguardano la parte legale, la parte organizzativa, la parte
informatica.
22. Sicurezza del trattamento
Documenti da produrre Azioni
Documento Valutazione dei Rischi
• Compilare e tenere aggiornato il documento
valutazione rischi
• Esecuzione misure tecniche e organizzative
inserite nel documento
• Verificare obbligo di compilazione
• Chiedere parere DPO
22
Documento di Valutazione Impatto
Privacy
• Chiedere parere DPO
• Compilare e tenere aggiornato il documento
VIP
• Esecuzione misure tecniche e organizzative
inserite nel documento
Procedura data breach
• Individuazione ufficio responsabile
• Compilazione protocollo di azioni
• Esecuzione misure tecniche e organizzative
inserite nel documento
• Verifica sussistenza cause di esonero
• Compilare e tenere aggiornato il registro della
violazione dei dati
23. Elenco di alcuni rischi / classificazione del GDPR
Distruzione
Perdita
Sicurezza del trattamento
23
Perdita
Modifica
Divulgazione non autorizzata
Accesso accidentale o illegale
24. Sicurezza del trattamento
Rischi
Comportamenti
degli operatori
• sottrazione di credenziali di autenticazione
• carenza di consapevolezza, disattenzione o incuria
• comportamenti sleali o fraudolenti
• errore materiale
• altro evento
Eventi relativi agli
• virus informatici o programmi suscettibili di recare danno
• spamming o tecniche di sabotaggioEventi relativi agli
strumenti
• spamming o tecniche di sabotaggio
• malfunzionamento, indisponibilità o degrado degli strumenti
• accessi esterni non autorizzati
• intercettazione di informazioni in rete
• altro evento
Eventi relativi al
contesto
• accessi non autorizzati a locali/reparti ad accesso ristretto
• sottrazione di strumenti contenenti dati
• eventi distruttivi, naturali o artificiali (terremoti, incendi, allagamenti)
nonché dolosi, accidentali o dovuti a incuria
• guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.)
• errori umani nella gestione della sicurezza fisica
• altro evento
24
25. Documento Valutazione Rischi
Devono fare la valutazione dei rischi tutte le organizzazioni pubbliche e private.
Analisi dei rischi: operazione in cinque mosse
1) Individuare il rischio n. 1 (ad es. perdita del dato)
2) Descrivere lo stato dell’arte
25
3) Valutare le varie misure astrattamente adottabili per evitare o ridurre al minimo il
rischio
4) Identificare e adottare la misura tecnica e organizzativa
5) Fare monitoraggio e manutenzione delle misure adottate
Poi si ricomincia il giro con il rischio n. 2 e così via.
26. Misure di sicurezza
Si deve ricorrere sia a misure tecniche sia a misure organizzative
• Pseudonimizzazione e cifratura dei dati personali
• Capacità di assicurare in modo permanente la riservatezza, l‘integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento
• Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati
personali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: ilpersonali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: il
Regolamento non fissa un termine esatto per il ripristino, limitandosi a dire
che deve essere tempestivo. Nella valutazione dei rischi bisogna indicare un
periodo preciso e brevissimo, non si può restare sul generico
• Procedure per testare, verificare e valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento
26
27. Valutazione di Impatto Privacy - VIP
(Privacy Impact Assessment)
“Valutazione dei Rischi” e “Valutazione di Impatto”
sono istituti diversi
• La “Valutazione dei Rischi” è sempre necessaria (individua le misure di• La “Valutazione dei Rischi” è sempre necessaria (individua le misure di
sicurezza “adeguate”);
• la Valutazione di Impatto è attività riservata alla gestione dei rischi
elevati per i diritti e le libertà fondamentali degli interessati.
27
28. Valutazione di Impatto Privacy - VIP
Casi in cui la Valutazione di Impatto Privacy è obbligatoria
(art. 35 GDPR e Linee Guida Gruppo Articolo 29):
• Trattamenti valutativi o di scoring, compresa la profilazione
• Trattamenti di dati personali su “larga scala”
• Sorveglianza sistematica su larga di zona accessibile al pubblico (es.• Sorveglianza sistematica su larga di zona accessibile al pubblico (es.
videosorveglianza di zone accessibili al pubblico)
• Decisioni automatizzate che producono significativi effetti giuridici (es.
concessione di prestiti, stipula di assicurazioni, ecc.)
• Trattamenti su categorie particolari di dati (es. sensibili, biometrici, giudiziari)
• Trattamento effettuato con nuove soluzioni tecnologiche (es. riconoscimento
facciale, device IoT, ecc.)
• Altre ipotesi che saranno elencate e pubblicate dall’Autorità Garante
28
29. Valutazione di Impatto Privacy - VIP
Requisiti minimi della VIP
La valutazione d’impatto, previo parere del DPO se nominato, deve contenere:
✓ Una descrizione sistematica del trattamento previsto
✓ Una valutazione dei rischi per i diritti e le libertà degli interessati
✓ una valutazione della necessità e proporzionalità del trattamento in relazione alle
finalitàfinalità
✓ Le misure previste per affrontare i rischi, includendo le garanzie, le misure di
sicurezza e i meccanismi per garantire la protezione dei dati personali e
dimostrare la conformità al Regolamento
Consultazione preventiva. Se dalla valutazione di impatto emerge che il rischio
non possa essere ragionevolmente minimizzato mediante le tecnologie disponibili o
per gli elevati costi di attuazione, il Titolare del trattamento, prima di procedere al
trattamento, consulta l‘Autorità di controllo.
29
30. Procedura Data Breach
La violazione della sicurezza dei dati personali riguarda le ipotesi in cui si verifica,
accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non
autorizzata o l’accesso non autorizzato ai dati personali.
Obblighi
• tutti i Titolari devono notificare la violazione all’Autorità Garante entro 72 ore, a
meno che appaia improbabile che da tale violazione derivi un rischio per i diritti e le
libertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazionelibertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazione
motivata)
• il Responsabile deve avvisare senza ritardo il Titolare
• il Titolare dovrà informare della violazione anche gli interessati se può causare
un “rischio elevato” per i diritti e le libertà degli stessi senza ingiustificato ritardo
• tutti i Titolari devono in ogni caso documentare le violazioni subite, anche in
mancanza di obbligo di notificazione, nonché le conseguenze e i provvedimenti
adottati (dovere di esibire la documentazione, su richiesta, al Garante in caso
di accertamenti).
30
31. Rapporti con gli interessati
Trasparenza
I dati personali devono essere trattati in modo trasparente nei
confronti dell’interessato:
31
• fornitura di informazioni all’interessato prima del trattamento e,
su sua richiesta, nel corso del trattamento;
• disclosure sull’identità dei soggetti che trattano i dati personali;
• disclosure sui mezzi utilizzati.
32. Rapporti con gli interessati
Documenti da produrre Azioni
Informativa •E’ obbligatoria per tutti gli enti
•verifica informative esistenti
32
•adeguamento ai nuovi contenuti e
adempimenti
Raccolta consensi
• verifica consensi esistenti
• allineamento ai nuovi contenuti e
adempimenti
33. Rapporti con gli interessati
Il Consenso
• E’ una delle basi giuridiche che giustifica e rende legittimo il trattamento
• Tutti gli enti sono tenuti a redigere la formula del consenso conforme agli
standard normativistandard normativi
• L’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei
suoi dati per scopi specifici incombe sul titolare del trattamento
• La richiesta di consenso deve essere in forma comprensibile e facilmente
accessibile, utilizzando un linguaggio semplice e chiaro
• Il consenso può essere revocato in qualsiasi momento e per la revoca deve
essere garantita la medesima facilità con la quale è stato prestato
• Necessità di consensi separati per marketing, profilazione, cessione dati a
terzi
33
35. Responsabile della Protezione dei Dati
(Data Protection Officer)
Ha una funzione di consulenza, sorveglianza e collegamento con il Garante e con
gli interessati.
Il DPO è obbligatorio se:
• il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;• il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
• le attività principali del Titolare o del Responsabile consistono in trattamenti che
richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
• le attività principali del Titolare o del Responsabile consistono nel trattamento su
larga scala di dati sensibili o di dati relativi a condanne penali e reati.
35
36. Responsabile della Protezione dei Dati
(Data Protection Officer)
• Il ruolo può essere svolto da soggetti interni o esterni all’ente, purché non
si trovi in situazione di conflitto di interessi (Responsabile IT, Responsabile
risorse umane, Responsabile sanitario nelle strutture medico-sanitarie non
può essere nominato DPO perché in conflitto di interessi)può essere nominato DPO perché in conflitto di interessi)
• se esterno, può essere persona fisica o giuridica (con opportuni contratti di
erogazione servizi). Può essere nominato dalle organizzazioni su base
volontaria.
36
37. Ruoli del DPO
• Informa i suoi referenti e fornisce pareri consulenziali in merito agli obblighi
derivanti dal regolamento GDPR e dalle normative correlate
• Sorveglia l'osservanza della normativa, compresi l'attribuzione delle
responsabilità, la sensibilizzazione e la formazione del personale che partecipa
ai trattamenti e alle attività di controllo
• Deve essere consultato per realizzare la valutazione d'impatto e se richiesto• Deve essere consultato per realizzare la valutazione d'impatto e se richiesto
fornire pareri in merito
• Coopera con l’Autorità Garante e funge da punto di contatto con questa per tutte
le questioni connesse al trattamento di dati personali
• Svolge o collabora alla raccolta di informazioni per individuare i trattamenti svolti
• Effettua l’analisi e la verifica dei trattamenti in termini di conformità
37
38. Cosa si rischia a non mettere in atto le
prescrizioni del Regolamento?
38
39. Responsabilità e regime sanzionatorio
Il sistema delle responsabilità è articolato in:
1. Sanzioni amministrative
2. Responsabilità civile per danni
39
40. Responsabilità e regime sanzionatorio
Sanzioni amministrative
Distinte in due gruppi:
a) sanzioni fino a 20 milioni di € o al 4% del fatturato mondiale totale annuo
dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale)
in caso di violazione di:
✓ principi relativi al trattamento e al consenso
✓ disposizioni relative ai diritti dell’interessato
✓ disposizioni in materia di trasferimento dati
✓ ordine di cessazione del trattamento
b) sanzioni fino a 10 milioni di € o al 2% del fatturato mondiale totale annuo
dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale)
in caso di violazione di:
✓ adempimenti in capo al Titolare e al Responsabile
40
41. Responsabilità e regime sanzionatorio
Responsabilità civile per danni
• Chiunque subisca un danno causato da una violazione del Regolamento ha il
diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del
trattamento;
• onere della prova a carico del presunto autore della violazione: per l’esonero da
responsabilità Titolare o Responsabile devono dare prova che l’evento dannosoresponsabilità Titolare o Responsabile devono dare prova che l’evento dannoso
non gli è in alcun modo imputabile (avere adottato tutte le misure idonee ad
evitare il danno);
• la responsabilità di Titolare e Responsabile del trattamento è solidale:
rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il
risarcimento effettivo all’interessato (salva rivalsa interna nei limiti della quota di
responsabilità).
41