Il Regolamento si applica a qualsiasi trattamento di dati personali, elettronico o cartaceo, contenuti in un archivio, appartenenti ad interessati che si trovano nell’Unione Europea. Il dato personale è inteso come “qualsiasi informazione riguardanti una persona fisica identificata o identificabile”. E’ chiaro come lo spettro di applicazione sia ampio: qualunque azienda tratta dati personali di persone fisiche, ad esempio clienti o dipendenti; vi è poi tutta la categoria di trattamenti legati al sito web o alla posta elettronica, alle comunicazioni commerciali, alle telefonate per promuovere un prodotto; infine, impianti di videosorveglianza e dati personali ricevuti da altre aziende, che vengono processati internamente. Non è azzardato dire quindi che tutte le aziende devono conoscere il nuovo regolamento e modificare la propria organizzazione avendo bene in mente i nuovi diritti degli interessati e la sicurezza dei loro dati.
Sì, se la mia azienda ha più di 250 dipendenti, ma anche:
sì, se i trattamenti effettuati possono presentare rischi per i diritti e libertà dell’interessato;
sì, se il trattamento dei dati non è occasionale;
sì, se il trattamento include categorie particolari di dati (dati sensibili, art.9) che rivelino origine razziale o etnica, opinioni politiche, convinzioni
religiose, appartenenza sindacale o dati che genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.
Le sanzioni vengono erogate dall’Autorità di controllo in base alla gravità, al carattere doloso, alle categorie di dati trattati non correttamente e ad altri criteri stabiliti dall’articolo 83 del GDPR: “la violazione delle disposizioni è soggetta a sanzioni amministrative pecuniarie fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato totale annuo, se superiore (ai 10 milioni)”. Anche se questi importi non saranno applicati alle piccole-medie imprese, certo è che la nuova normativa prende molto sul serio le violazioni, specialmente quelle commesse con grave colpa, ovvero quando i dati vengono trattati illecitamente, senza consenso, ceduti a terzi per scopi commerciali o conservati senza misure minime di sicurezza. Più in generale, il legislatore vuol colpire i soggetti che ignorano volutamente i nuovi diritti dei cittadini dell’UE e le aziende che continuano a trattare grandi quantità di dati senza idonee precauzioni e senza informare correttamente i legittimi interessati.
Il nuovo regolamento, entrato in vigore nel 2016 ma obbligatorio da maggio 2018, costituisce una profonda revisione delle attuali normativa in materia di sicurezza dei dati e Privacy. Il nuovo codice promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Sì, lo ha ribadito L’Agenzia per l’Italia Digitale (AGID) nelle circolari 1/2017 e 2/2017, quest’ultima pubblicata in Gazzetta Ufficiale a maggio. Le misure minime di sicurezza ICT devono essere adottate da tutti gli Enti pubblici entro il 31/12/2017 e descritti in un documento, da firmare digitalmente e dotato di marcatura temporale, a cura del Responsabile ICT dell’Ente.
Un test di penetrazione (penetration test) è un attacco ad un sistema informatico che avviene dall’interno o dall’esterno, concordato con il proprietario.
E’ il nuovo punto di vista su cui si basa il nuovo Regolamento Europeo in materia di Dati personali. Tutela della Privacy e protezione dei dati devono essere presenti fin dalla fase di ideazione e progettazione di un trattamento o di un sistema informatico e si richiede di adottare comportamenti che consentano la prevenzione di possibili problematiche e non soltanto il rimedio a violazioni già avvenute.
Il Responsabile della Protezione dei Dati (o DPO, Data Protection Officer) è una figura espressamente prevista dalla nuovo Regolamento Europeo in materia di protezione dei dati personali, entrato in vigore nel maggio 2016 e obbligatorio da maggio 2018. In estrema sintesi, si tratta di una figura professionale esterna incaricata di assicurare una corretta gestione dei dati personali in imprese ed enti pubblici.
E’ obbligatoria la nomina di un Data Protection Officer (DPO) quando:
il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
oppure, in caso di azienda privata, quando le attività principali consistano nel trattamento su larga scala, di dati sensibili (ai sensi dell’art. 9 del GPDR) o di dati
relativi a condanne penali o a reati di cui all’art. 10 del GDPR.
Il Responsabile della Protezione dei Dati (o DPO) è una figura prevista dal GPDR per coadiuvare il Titolare nell’affrontare le novità del Trattamento dei dati. Il DPO
conosce la materia ed è dotato di qualità organizzative e professionali tali da facilitare i nuovi processi, in base al principio della Privacy By Design. La nomina di un
DPO è obbligatoria nei seguenti casi:
autorità pubblica o organismo pubblico;
quando l’attività principale è il monitoraggio regolare e sistematico degli interessati su larga scala;
oppure quando vengono trattati, sempre su larga scala, dati sensibili o penali.
La nomina può essere effettuata anche a livello di gruppo o in forma associata. In generale la nomina di un DPO è comunque consigliata quando il titolare del trattamento
non possieda le adeguate conoscenze normative e tecniche per affrontare i cambiamenti introdotti dal GDPR.
Il SANS 20 è una lista di 20 controlli utili a testare il livello di sicurezza di un’infrastruttura IT. Questa metodologia, ideata dal SANS Institute, attivo dal 1989 nel campo della cybersecurity, è espressamente richiamata nella circolare AGID (Agenzia per l’Italia Digitale) n.2/2017 in tema di misure minime di sicurezza ICT per la PA.
L’analisi di dispositivi informatici all’interno di un processo civile o penale è un insieme di metodi e tecniche piuttosto nuova nel panorama legislativo italiano. E’ nata come “computer forensic”, in quanto le prove digitali erano contenute fino a dieci anni fa solo all’interno di hard-disk; si parla oggi di “digital forensic” perché i dispositivi da analizzare comprendono non solo pc ma anche memorie su scheda, telefoni, smartphone, tablet, gps ecc.
Il principio base del trattamento è che i dati personali riguardanti altri individui, se utilizzati a scopi commerciali o se diffusi verso terzi, devono essere trattati per il tempo strettamente necessario all’erogazione del servizio. L’elaborazione deve avvenire riducendo al minimo l’utilizzo di dati personali e le informazioni devono essere conservate per un tempo non superiore a quello necessario rispetto agli scopi prefissati. Il consumatore può richiedere (ad es. call center) dove sono stati reperiti i propri dati e ha numerosi nuovi diritti, come la possibilità di conoscere tempi e modi del trattamento e conoscere gli standard di sicurezza utilizzati da chi tratta i suoi dati.
E’ obbligatorio notificare entro 72 ore la violazione del proprio sistema informatico all’Autorità Garante per la Privacy, descrivendo quali dati sono stati rubati e denunciando le possibili conseguenze per i consumatori. Contestualmente alla comunicazione, occorre descrivere le misure di sicurezza adottate e quelle che verranno adottate dopo la violazione per porre rimedio alla situazione. Visti i tempi ristretti e l’ammontare delle sanzioni (fino al 4% del fatturato) è opportuno aver predisposto prima una descrizione delle misure minime di sicurezza e un piano di emergenza per i casi di data breach.
La nuova normativa garantisce e rafforza il diritto all’oblio, ovvero la possibilità di vedere cancellati i propri dati, qualora il motivo che ha reso legittima la pubblicazione non sia più di pubblica utilità. Il consumatore può richiedere la cancellazione dei propri dati personali, comunicando la revoca del trattamento concesso per ottenere un determinato servizio. Viene di fatto sancito un diritto finora rimasto sulla carta nelle varie normative nazionali.
L’articolo 9 del Regolamento, al comma 1, regola il trattamento di quelle particolari tipologie di dati personali inquadrati precedentemente come dati sensibili. Si tratta dei dati personali che possono rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica (es. impronte digitali, impronte oculari), dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Il GDPR stabilisce che il trattamento di questi dati è generalmente vietato, tranne casi specifici, indicati in maniera precisa dall’art. 9.