+39 051 0516686 | security@foresite.it
bclose

Introduzione

Negli ultimi anni le violazioni di dati che hanno coinvolto le informazioni personali identificabili (PII) sono arrivati a numeri senza precedenti.
Il caso Equifax da solo ha colpito più di 145 milioni di persone, rivelando informazioni quali: nomi, date di nascita, indirizzi, numeri di carte di credito e codici fiscali.

I cyber-criminali non si stancano mai di trovare nuove falle da sfruttare, ma non possiamo dare la colpa solo a loro, in quanto spesso è proprio l’azienda che detiene le informazioni personali identificabili a rendere il lavoro degli hacker molto più semplice.
Le aziende infatti spesso assumono un atteggiamento debole riguardo alla sicurezza informatica, non implementando i controlli di sicurezza di base quali ad esempio la gestione delle patch.

Sfortunatamente i cybercriminali e le falle di sicurezza non sono le uniche minacce alle informazioni private, come provato dal modo in cui Facebook ha abusato dei dati dei clienti nel caso Cambridge Analytica.
Questo caso è culminato in una maggiore pressione per aggiornare le leggi che tutelano le informazioni personali di tutti noi.
L’Unione Europea ha per questo promulgato la GDPR – General Data Protection Regulation.

Cos’è la GDPR e in che modo riguarda la mia azienda?

La GDPR è il più importante cambiamento riguardante la privacy dei dati fatto in Europa negli ultimi 20 anni. Il suo impatto però non riguarda soltanto le aziende situate in UE, ma riguarda invece tutte le organizzazioni che offrono beni o servizi, o che monitorano il comportamento di dati relativi a soggetti dell’ Unione Europea.

In pratica, dopo il periodo di transizione di due anni terminato nel Maggio 2018, la GDPR si applica a tutte le azienda che processano e detengono dati personali di soggetti residenti in Unione Europea, indipendentemente dall’ubicazione dell’azienda.

Che succede se un’azienda non riesce a rispettare la GDPR? Oltre ad una pessima pubblicità, la suddetta azienda rischia una multa fino a 20 milioni di Euro o del 4% degli introiti totali dell’azienda, a seconda di quale delle due opzioni sia la più grande.

Come Conformarsi alla GDPR

Rendersi conformi alla GDPR può sembrare scoraggiante. E’ vero che molti concetti erano già parte del Data Protection Act del 1998, ma ci sono molti nuovi aspetti e standard più rigorosi che le aziende devono oggi rispettare.

La buona notizia è che questa nuova regolamentazione è molto chiara, e si basa praticamente su due principi chiave:

  • Un’azienda può raccogliere dati personali solamente con uno scopo chiaramente definito e non può utilizzare queste informazioni per altro
  • Un’azienda non deve mai raccogliere dati superiori a quelli di cui ha bisogno

Ecco alcuni semplici passi che dovrebbero aiutarvi nei vostri sforzi per conformarvi alla GDPR

1.Assumere un Data Protection Officer (DPO)

La figura del DPO rappresenta la persona responsabile del fatto che un’azienda sia conforme alla GDPR, è quindi logico che questo debba essere uno dei primi passi da compiere.

Non tutte le aziende necessitano di nominare un DPO, questo è obbligatorio solo per le autorità pubbliche e le aziende con più di 10-15 impiegati che processino dati personali. Anche se non è obbligatorio che la vostra azienda abbia una persona formalmente nominata come Data Protection Officer, è comunque una buona idea avere qualcuno all’interno dell’azienda che sia responsabile per la protezione dei dati personali.

L’articolo 39 della GDPR è molto chiaro riguardo alle competenze del DPO: deve lavorare come consigliere su tutto ciò che riguarda la protezione dei dati, ma è anche responsabile del monitorare la conformità e deve fungere da punto di contatto per l’autorità di controllo.

E’ importante sapere che il Data Protection Officer può svolgere anche altri compiti all’interno dell’azienda, a meno che questo non risulti in un conflitto di interesse.

2. Controllare i dati personali processati/immagazzinati

Secondo la GDPR, le aziende devono raccogliere i dati personali solo con uno scopo ben definito, e non utilizzarli mai per altro.

Basandoci su questa premessa, una delle priorità del DPO è di confermare ogni caso in cui l’azienda raccolga, immagazzini o processi dati personali, controllando che ci sia una base legale per lo scopo per cui è fatto.
Per esempio, se il core business di un’azienda è il trasporto di beni ai clienti, le informazioni personali di base di cui l’azienda ha bisogno per completare il lavoro sono: il nome completo del cliente, un indirizzo per la spedizione e un numero di contatto o un email per le notifiche o le emergenze. In questo caso non c’è alcun motivo legale per richiedere informazioni personali quali la data di nascita del cliente, il genere o lo stato civile — a meno che, per esempio, non si abbia intenzione di inviare notifiche riguardo a offerte speciali o pubblicità, in questo caso è necessario prima richiedere il consenso.

Per semplificare, se un’azienda raccoglie, immagazzina o processa più informazioni personali di quelle di cui ha davvero bisogno, la miglior soluzione è che smetta di farlo. Un approccio intelligente per una piena trasparenza è quello di preparare un documento che spieghi quali dati personali un’azienda tenga e per quali ragioni. Questo documento dovrebbe contenere:

  • Il motivo per cui l’azienda raccoglie, immagazzina o processa i dati
  • Il tipo di dati personali raccolto, immagazzinato o processato
  • Il periodo di tempo durante il quale vengono immagazzinati i dati
  • Controlli di sicurezza tecnici o organizzativi impiegati per proteggere i dati personali
  • Se i dati personali sono trasferiti a destinatari al di fuori dell’ Unione Europea

3. Ottenere il consenso del cliente

Il consenso è uno dei motivi legali per processare dati personali, e , secondo la GDPR, è assolutamente necessario ottenerlo prima di processare o immagazzinare dati dei clienti.

Un punto chiave per la conformità alla GDPR è capire che bisognerebbe ottenere il consenso utilizzando un linguaggio chiaro e comprensibile.
I clienti devono sapere chi è l’azienda che richiede i loro dati, quando i loro dati vengono richiesti o raccolti, perché vengono processati, per quanto tempo verranno tenuti e chi li riceve.

Mentre in passato il silenzio del cliente era sufficiente per il consenso, la GDPR richiede prova che un’azienda abbia ricevuto una conferma positiva da parte del cliente prima di utilizzarne le informazioni. Inoltre, se ci dovessero essere delle modifiche (per esempio l’utilizzo delle informazioni personali per un motivo che non è stato spiegato precedentemente) è necessaria una nuova richiesta di consenso.

L’approccio migliore per una piena trasparenza è di creare e pubblicare una privacy policy che spieghi come vengono raccolte le informazioni personali e come vengano utilizzate dall’azienda, ma bisogna sempre tenere presente che questo non conta come conferma positiva. Ci deve comunque essere un modo che provi che il cliente abbia accettato questa privacy policy e abbia dato il proprio consenso.

4. Tenere i dati solo per il tempo necessario

Questo passo è piuttosto semplice: un’azienda non deve immagazzinare o processare dati personali indefinitamente.
Se il motivo originale per raccogliere, immagazzinare o processare informazioni personali è stato adempiuto, i dati dovranno essere eliminati in maniera sicura.

Per esempio, nel caso degli impiegati, i dati personali devono essere tenuti soltanto fino a che esiste una relazione lavorativa e i relativi obblighi di legge. La stessa cosa vale per i clienti, i dati si possono tenere solo fino a che dura la relazione col cliente e gli obblighi di legge relativi.

Per alcune attività, il valore dei dati personali può essere molto alto, fino ad essere uno dei principali asset strategici dell’azienda.
Per questo motivo, se un’azienda desidera tenere dati preziosi che altrimenti dovrebbero essere eliminati, deve chiedere il consenso. Deve spiegare ai propri clienti/impiegati le ragioni per cui vorrebbe continuare a tenere i dati, e accertarsi che ci sia una conferma positiva da parte degli interessati.

5. Rendere sicuri tutti i dati personali

Secondo la GDPR i dati personali devono essere processati in una maniera che assicuri un appropriato livello di sicurezza e riservatezza, con controlli che prevengano accessi non autorizzati.

E’ importante ricordare che non importa che i dati personali siano immagazzinati elettronicamente, come parte di un’applicazione o fisicamente. L’azienda è comunque pienamente responsabile della loro sicurezza. Una particolare attenzione deve essere riservata alle informazioni sensibili, come lo stato di salute, la razza, l’orientamento sessuale, la religione e il credo politico.
E’ ovvio quindi che il DPO debba lavorare a stretto contatto con il team di sicurezza dell’azienda.

Un altro buon approccio per la conformità alla GDPR è seguire uno standard di sicurezza stabilito, come l’ ISO 27001. Nei casi un cui sia necessario essere più approfonditi, è consigliabile effettuare regolari valutazioni di vulnerabilità, o addirittura un completo test di penetrazione.

6. Rispettare i diritti dei clienti

E’ chiaro che lo scopo principale della GDPR sia accertarsi che le aziende rispettino i diritti dei loro clienti, riguardo al processo e al movimento dei dati personali.

Questi diritti includono:

  • Consenso obbligatorio sopraindicato prima di raccogliere, immagazzinare e processare informazioni personali
  • Accesso e portabilità dei dati personali (es. permettere ai clienti di accedere ai propri dati e darli ad un’altra azienda)
  • Inviare notifiche formali entro 72 ore dalla scoperta di una violazione dei dati
  • Permettere ai clienti il diritto all’oblio (es. cancellare dati personali quando richiesto, a meno che non sia compromessa la libertà di espressione o la abilità di ricerca)
  • Informare i clienti nel caso in cui i dati personali vengano utilizzati per la profilazione
  • Dare ai clienti la possibilità di decidere di uscire da marketing diretto che utilizza i propri dati
  • Ottenere il consenso dei genitori prima di raccogliere dati riguardanti i loro bambini
  • Assicurarsi che le misure necessarie siano state prese prima di trasferire dati personali in paesi fuori dall’Unione Europea

Questa lista può sembrare infinita, ma ricordatevi che negare qualsiasi di questi diritti può portare ad una violazione della GDPR e quindi ad una multa fino a 20 milioni di Euro o del 4% dei ricavi globali dell’azienda.

Conclusione

Conformarsi alla GDPR non dovrebbe essere un progetto focalizzato puramente all’evitare una pubblicità negativa o l’impatto finanziario di una multa. Questa nuova regolamentazione riguarda il rispetto dei diritti individuali relativi alle informazioni personali, una cosa che tutte le aziende dovrebbero fare, specialmente quando i dati personali sono utilizzati quotidianamente come pilastro centrale del proprio business.

Nella maggior parte dei casi, la strada verso la conformità si tradurrà in un significativo cambio della mentalità aziendale, interessando aziende di ogni dimensione o posizione geografica che trattino informazioni personali e desiderino continuare a fare affari con l’Unione Europea.
In fin dei conti, non dovrebbe essere percepito come uno sforzo, ma come una percorso necessario per un mondo più sicuro nell’era delle informazioni.