Blog

GDPR 2018 – Dove siamo arrivati? – parte 3

DOCUMENTI E VIOLAZIONI

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

Oggi iniziamo a presentarvi alcuni strumenti previsti dal GDPR e promossi dall’Autorità Garante Italiana, come sussidio per una più efficace gestione del processo di Trattamento

Che cos’è il Registro dei Trattamenti

L’art. 30 del GDPR prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

Un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (su un registro apposito).

Concentriamoci sul Registro del Titolare.

Esso è uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione. È indispensabile per le attività di valutazione e analisi dei rischi e quindi va redatto prima.

È uno dei principali strumenti di Accountability del Titolare.

Il Registro va redatto in forma scritta, anche elettronica, conservato presso la sede ed esibito su richiesta dell’autorità competente.

Chi lo deve redigere?

Secondo il regolamento, tutti i Titolari sono tenuti a redigerlo; in particolare

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque azienda che effettui trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, anche se con meno di 250 dipendenti;
  • qualunque azienda che effettui trattamenti non occasionali;

Tra queste aziende si annoverano anche Associazioni, Fondazioni e Comitati. Quindi potremmo dire che TUTTI coloro che trattano dati, lo devono adottare.

Per le aziende od organizzazioni con meno di 250 dipendenti, possono redigerlo in forma semplificata.

Deeperformance nella sua attività di consulenza lo predispone per tutti i suoi clienti, così da agevolare l’azienda stessa nella comprensione prima e monitoraggio poi del processo delle attività legate al Trattamento dei Dati, oltre ad attuare al meglio ed in forma più completa il principio di Accountability.

Quali dati deve contenere? 

Si compone di 6 campi da compilare

  1. Finalità del Trattamento: al suo interno andremo ad indicare le finalità, suddivise per tipologia di trattamento, e la base giuridica.
  2. Descrizione delle categorie di interessati e di Dati personali: qui si indicano tipologie di interessati e di dati personali oggetti di trattamento
  3. Categorie di destinatari a cui i dati sono comunicati: si indicano i titolari a cui verranno comunicati i dati o i Responsabili Esterni.
  4. Trasferimento di Dati personali verso un paese terzo o Organizzazione Internazionale: qui scriveremo se i dati verranno trasferiti in altri paesi o in altre Organizzazioni.
  5. Termini Ultimi previsti per la cancellazione delle diverse categorie di Dati: per ogni tipologia e finalità indicare i tempi di conservazione e di cancellazione
  6. Descrizione generale delle misure di sicurezza: indicazione delle misure di sicurezza tecnico-organizzative adottate dal Titolare. Sarà per forza di cose un elenco dinamico che si aggiorna man mano che la tecnologia e i rischi evolvono.

Come conservare ed aggiornare il Registro dei Trattamenti?

In quanto documento realizzato dal Titolare, il Registro andrà costantemente revisionato e aggiornato, in quanto il contenuto dovrà corrispondere a quanto realmente applicato in azienda. Qualsiasi cambiamento dovrà essere immediatamente segnalato al suo interno.

DATA BREACH ovvero VIOLAZIONI DEI DATI PERSONALI

Cosa intendiamo con Violazione dei dati Personali?

Da ormai più di un anno sentiamo parlare di “Data Breach”; termine che abbiamo sentito in notiziari e letto sui giornali, associandolo a “buchi” nella sicurezza di Facebook ed altri colossi informatici, o a operazioni complesse di Hacker super esperti.

Di cosa si tratta realmente?

Con il Termine Data Breach intendiamo una Violazione della sicurezza nel Trattamento dei dati, che ha come conseguenza la loro distruzione, perdita, sottrazione o modifica.

Può essere accidentale o derivare da comportamenti illeciti.

Può essere riferita a strumenti informatici, come anche a quelli cartacei.  Aspetto di cui pochi parlano.

Perché è così grave? Perché essa compromette la riservatezza, l’integrità e/o la disponibilità dei dati personali.

Esempi famosi di questo ultimo anno sono:

  • La Violazione dei Server di Facebook e la sottrazione di dati a oltre 80 milioni di account
  • Cambridge Analityca: senza entrare nel dettaglio il caso mediatico più importante forse del 2018
  • La violazione del social Google+, che ne ha decretato la chiusura.

E così ce ne sono tanti altri esempi che hanno colpito i colossi del web e non solo.

Casistica

Vediamo alcuni casi in cui si parla di data Breach oltre ai classici crimini informatici.

  • Accesso o acquisizione di dati da parte di terzi non autorizzati
  • Perdita o sottrazione di dispositivi informatici (hard disk, cd-rom, …)
  • Distruzione di dati a causa di danni, incendi, o altre cause naturali
  • Divulgazione non autorizzata di dati personali
  • Utilizzo di dati di terzi per azioni criminali (il phising per esempio)

Cosa fare in caso di Violazione dei Dati personali?

Secondo il Regolamento Europeo, il titolare del Trattamento deve comunicare la violazione al Garante per la protezione dei dati personali entro 72 ore dalla scoperta. Poi deve avvisare gli interessati, comunicando loro le misure di sicurezza da adottare per proteggere i propri dati.

Se a scoprire il danno è il Responsabile del Trattamento, deve sempre avvisare il Titolare per valutare la gravità del danno e la tipologia della comunicazione.

Occorre sempre notificare l’evento?

Ogni qual volta tale violazione comporti un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali o immateriali.

Anche nel caso in cui tale violazione non fosse da comunicare al Garante, è obbligo del Titolare redigere un Registro che tenga traccia di tutte le violazioni. Questo permette alle Autorità di controllo di effettuare verifiche sulle diverse situazioni e sul rispetto della normativa.

Quali informazioni deve contenere la notifica? 

Secondo l’art. 33 del Regolamento, la notifica deve contenere una descrizione della natura della violazione dei dati personali, che comprenda:

  1. categorie e numero approssimativo di persone interessate;
  2. categorie e volume approssimativo di dati personali interessati;
  3. il nome e i riferimenti di contatto del responsabile della protezione dei dati o comunque di un referente competente a fornire informazioni;
  4. una descrizione delle possibili conseguenze della violazione dei dati personali;
  5. una descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali

Se la notifica viene effettuata dopo le 72 ore, una descrizione dei motivi del ritardo.

La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it

Tu in azienda hai fatto tutte le analisi e mappature dei rischi per prevenire violazioni del Sistema?

 

VIOLAZIONI E SANZIONI

Oggi parliamo del tema che più interessa aziende e liberi professionisti.

Cosa succede se non mi adeguo e arrivano dei controlli?

Anche in questo caso il Regolamento Europeo è stato chiaro, indicando all’art. 83 le motivazioni ed i criteri con i quali ogni Autorità Nazionale dovrà organizzare il sistema sanzionatorio.

Andiamo con ordine e partiamo dicendo che una violazione può avere conseguenze di tipo diverso, tra cui quelle economiche. Tra le altre ricordiamo

  • Possibilità che vengano limitate, sospese o bloccate le procedure di Trattamento Dati, fino a quando non vengano attuate misure correttive.
    Eventuale risarcimento a terzi, laddove la violazione abbia comportato danni agli interessati.
  • Applicazione di sanzioni amministrative da parte dell’autorità di controllo;
    Applicazione di eventuali sanzioni penali

Il Regolamento Europeo ha abrogato la parte relativa alle sanzioni amministrative dei singoli stati, lasciando invece il potere di legiferare riguardo le sanzioni penali.

Quando si incorre nel rischio di prendere una sanzione? Quali i fattori che vengono presi in considerazione dall’autorità di controllo?

Per far si che la sanzione abbia carattere effettivo, proporzionata al danno e dissuasivo, occorre tenere conto di:

  • natura, la gravità e durata della violazione, in relazione alla natura del trattamento ed al livello del danno subito dagli interessati
  • il carattere doloso o colposo della violazione; per le aziende che hanno sedi in più paesi, le violazioni saranno considerate più gravi perché di carattere internazionale.
  • se il titolare ha già attivato o meno misure adeguate per attenuare il danno subito e per evitare il ripetersi della violazione.
  • il grado di responsabilità del titolare del trattamento che tiene in considerazione le misure tecniche e organizzative già in essere
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • come l’autorità di controllo è venuta a conoscenza della violazione, e se e come il Titolare ha notificato la violazione;
  • presenza di percorsi di certificazione o adesione a codici di condotta
  • se la violazione ha portato un profitto al titolare;

Quali allora le sanzioni?

Il regolamento europeo distingue due gruppi di violazioni.

  1. Sanzioni che possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore.
  2. Sanzioni fino 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiori

Qualunque sia il tipo di danno e la conseguente sanzione, devono comunque essere considerate un dissuasore e non una punizione.

Verranno irrogate sanzioni proporzionate all’azienda ed al percorso che ha in essere.  Questo provvedimento fa sì che si evitino chiusure aziendali e al tempo stesso serve a trasmettere il messaggio che questo adeguamento è un’opportunità e non un ennesimo obbligo.

L’iter che verrà seguito nella maggior parte dei casi, di fronte ad una violazione del Trattamento sarà quello di

  • Richiamo del Titolare del Trattamento
  • Ammonizione
  • Sospensione del Trattamento
  • Sanzione amministrativa pecuniaria.

SANZIONI: CASISTICA

Forti della convinzione che tanto toccherà ad altri, spesso sottovalutiamo gli Organismi di Controllo ed anche le risposte che tali organismi danno alle Segnalazioni o ai Reclami.

Entriamo nell’argomento con qualche numero

Nell’ultimo anno i controlli del Garante, presso aziende private e Pubbliche amministrazioni è aumentato del 116%.

Nel corso del 2018 sono state adottati 175 provvedimenti, contro i soli 109 del 2017, con un aumento significativo delle somme sanzionate. A fronte di un totale di oltre 3,5 milioni di Euro si è arrivato a poco più di 8 milioni nel 2018.

Cosa è previsto per il 2019?

Il Garante ha fatto sapere, nel piano ispettivo rilasciato a fine 2018 che il primo semestre del 2019 i settori su cui concentrerà maggior attenzione sarà quello di

  • Istituti di Credito
  • Sanità
  • Telemarketing
  • Carte Fedeltà
  • Grandi banche dati pubbliche

Ed anche il Sistema statistico Nazionale.

Anche il settore Pubblico verrà controllato; in particolare gli Enti Pubblici, Comuni e Regioni che svolgono trattamenti di dati personali tramite app, con attenzione specifica a chi utilizza sistemi di profilazione e geolocalizzazione degli utenti.

Quindi queste sanzioni arrivano?

Abbiamo accennato alla sanzione per la Piattaforma Rousseau per 50.000€; altri esempi si stanno riscontrando in tutta Europa. Ecco alcuni esempi:

  • L’ICO (Autorità Garante Inglese) ha multato l’azienda Vote Leave Limited per 40.000£ per aver inviato messaggi di testo illegali
  • Un’azienda austriaca è stata multata con 4.000€ per aver usato male il sistema di videosorveglianza.
  • Un’azienda tedesca ha dovuto versare 20.000€ per mancata cifratura delle password degli utenti
  • Una struttura sanitaria portoghese ha ricevuto una sanzione da 400.000€ per mancanza di accessibilità al dato.

Quale insegnamento possiamo trarre da tutto questo?

Iniziamo con il dire che dovremmo

  • Evitare di sottovalutare il problema Privacy
  • Aggiornare e mettere a norma impianti e cartellonistica della video sorveglianza, spesso sottovalutata da Piccole e Medie imprese
  • Aggiornare le informative al Nuovo Regolamento Europeo

Ricordo che stanno per scadere gli 8 mesi concessi dall’autorità Garante Italiana alle aziende per adeguarsi ed avviare processi di Compliance aziendali.

Dopo tale termine, cioè da maggio 2019, inizieranno in modo più organico e sistematico i controlli sulla tipologia di aziende viste prima e su tutte quelle che verranno portate all’attenzione dell’Autorità da segnalazioni e Reclami.

Pertanto invito tutti ad iniziare il percorso di adeguamento, per essere pronti a rispondere ad eventuali sollecitazioni.