GDPR: compliance, responsabilità e sanzioni

GDPR: compliance, responsabilità e sanzioni

Tutto quello che c'è da sapere sulla regolamentazione che entrerà  in vigore il 25 maggio. La tua azienda è pronta?

La Farnesina, Università  Bicocca, UniCredit, Saint Gobain, Sogei, Deloitte, Yahoo e Uber.  Cosa accomuna tutte queste aziende? Hanno tutte subìto una violazione e la perdita dei dati a causa di un attacco informatico. A queste realtà  purtroppo però se ne aggiungono altre centinaia di migliaia, appartenenti ad ogni settore, nazione, sia pubbliche che private e di qualunque dimensione (basti pensare che nel 2017 il 47% delle PMI sono state attaccate). La sicurezza informatica sta pertanto velocemente diventando una vera problematica di business per le aziende che, oltre a subire ingenti danni economici e la perdita di reputazione, vedono inoltre compromessi tutti i dati da loro posseduti, sia interni che di clienti, ma anche di terze parti, con gravi conseguenze per il proseguo dell'attività .

Al fine di garantire una maggior sicurezza delle informazioni, l'Unione Europea ha introdotto nel 2016 il GDPR, normativa alla quale le imprese devono adeguarsi entro 2 anni, con scadenza ultima il 25 maggio 2018, senza proroga alcuna.

Il trattamento dei dati è lecito, il loro utilizzo deve però essere protetto, autorizzato e con il consenso espresso dell'interessato ha dichiarato l'avvocato Giovanna Ianni, in occasione dell'evento GDPR: un dato di fatto, un fatto di dati, organizzato ieri a Milano da BBTech e Risk Solver, nato con l'obiettivo di approfondire le tematiche legati alla nuova regolamentazione.

GDPR

IMG_3734 Il General Data Protection Regulation si basa essenzialmente su 3 pilastri:

1) Principio di Accountability o di responsabilizzazione: i dati devono essere trattati sotto la responsabilità  del Titolare, che deve dimostrare per ciascuna operazione di aver agito in conformità  alle disposizioni del GDPR. Al contrario di come avveniva in passato infatti, si passa ad un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno.

2) Privacy by Design: si intende la necessità  di prevedere già  in fase di progettazione dei sistemi informatici e applicativi, di sistemi che tengano costantemente sotto controllo i rischi che il trattamento può comportare per la tutela degli interessati

3) Privacy by Default: tutte le volte in cui un soggetto cede i propri dati ad un terzo, deve sempre esistere una procedura interna che preveda e disciplini le modalità  di acquisizione, trattamento, protezione e modalità  di diffusione. 

GDPR vs Regolamento Italiano

Il GDPR prevede che ogni Nazione emetta una legge di coordinamento (entro il 21 maggio 2018) tra il Regolamento Europeo e le normative nazionali vigenti, soprattutto in riferimento alle materie sulle quali gli Stati Membri hanno competenza legislativa esclusiva (es. penale), con anche l'obiettivo di evitare che vi siano contrasti tra le due legislazioni. La suddetta legge di coordinamento non è però ancora stata emessa, ma solo dei provvedimenti intermedi. Il rischio è quindi che ci siano in essere leggi contrastanti in vigore.

Quali aziende devono essere compliance al GDPR?

Si devono adeguare alla normativa tutte le imprese, le organizzazioni e le Pubbliche Amministrazioni presenti negli stati membri dell'Unione Europea (indipendentemente dal fatto che il trattamento sia effettuato in UE), ma anche società  extra UE che offrono servizi o prodotti a persone fisiche nel territorio dell'UE o che semplicemente monitorano il comportamento di soggetti all'interno dell'Unione.

Quali dati sono soggetti al GDPR?

L'introduzione della normativa non fa più riferimento a quelli che si chiamavano fino a poco tempo fa dati sensibili, ma a qualunque informazione riguardante una persona fisica identificata  o identificabile, direttamente o indirettamente (non solo nome e cognome, ma anche indirizzi IP, cookies, dati di geolocalizzazione, dati bancari, ecc.) e trattabili con mezzi automatizzati e non.

Esistono pero delle esclusioni per le quali il trattamento è libero: informazioni anonime, quelle utilizzate per scopi personali o domestiche, quelle rientranti nella politica estera, nella sicurezza comune, nella sicurezza pubblica e giustizia, oltre che quelle aventi finalità  esterne al diritto UE.

Chi può trattare i dati personali?

Il Titolare del trattamento, ossia qualsiasi persona fisica o giuridica, Autorità  pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità  e i mezzi del trattamento dei dati personali. Il titolare può a sua volta nominare un Responsabile del trattamento che tratta le informazioni per conto del Titolare e anche un Autorizzato al trattamento, cioè chiunque agisca sotto l'autorità  del Titolare o del Responsabile del trattamento, che sia da lui istruito e abbia accesso ai dati personali oggetto del trattamento.

Trasferimento dei dati all'estero. è possibile?

Il GDPR vieta il trasferimento verso Paesi situati al di fuori dell'UE o organizzazioni internazionali se effettuato in assenza di adeguati standard di tutela. Al contrario, invece, è permesso in caso di presenza di adeguate garanzie come clausole contrattuali tra titolari autorizzate dal Garante, accordi e provvedimenti vincolanti tra autorità  pubbliche amministrative e giudiziarie, clausole tipo adottate dal Garante, adesione a codici di condotta e/o meccanismi di certificazione.
E' inoltre permesso il trasferimento oltre UE in caso di decisioni di adeguatezza della Commissione UE (es.
Privacy Shield EU/USA», Svizzera, Argentina, Australia, Canada, ecc.), norme vincolanti di impresa (Binding Corporate Rules ) e casi in deroga (consenso informato dell'Interessato, necessità  per esecuzione adempimenti contrattuali e precontrattuali, interesse pubblico, diritto di difesa, interessi vitali, dati tratti da registro pubblico, ecc.)

DATA BREACH

Una delle tematiche affrontate dal GDPR riguarda il Data Breach, definito come qualsiasi attività  che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende, entro 72 ore dalla venuta a conoscenza della violazione subita (eventuali ritardi devono essere giustificati) devono comunicare all'Authority la natura della violazione, le possibili conseguenze, le misure adottate per rimediare o ridurre l'impatto del danno subito, ma anche fornire il nome e i dati di contatto del DPO.

Qualora sussistesse un rischio elevato per i diritti e le libertà  della persona fisica i cui dati sono compromessi, la comunicazione dovrà  avvenire anche agli interessati con le stesse modalità  fornite all'Autorità . Esistono però alcuni casi per i quali la notifica all'interessato non è necessaria, ossia quando i dati non sono stati compromessi a seguito della violazione, se sono state adottate misure successive atte a scongiurare il sopraggiungere un rischio elevato dei diritti dell'interessato o qualora l'invio della comunicazione richieda sforzi sproporzionati.

Responsabilità 

Sono passibili della responsabilità  e quindi tenuti al risarcimento soltanto il titolare del trattamento ed il responsabile incaricato: mentre il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.

SANZIONI

Il GDPR prevede sanzioni pecuniarie e penali a seconda della gravità  della violazione e delle strategie messe in atto dall'azienda per minimizzare il rischio di perdita dei dati.

Sanzioni Pecuniarie

Sono stabilite multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell'azienda dell'esercizio precedente, se superiore alla predetta cifra, qualora non vegano adottati accorgimenti strutturali e formali, come ad esempio non essere conformi al privacy by design/ by default, non aver assegnato ruoli specifici nel trattamento dei dati così come del DPO, non aver realizzato i registri delle attività  di trattamento o il non aver comunicato la violazione del Data Breach all'Autority e all'interessato.

Le sanzioni salgono a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore alla predetta cifra, qualora si attestino violazioni ai principi e alle norme che provocano dei danni sugli interessati.

Come si può notare le sanzioni predisposte sono graduali e definiscono un tetto massimo al quale le multe possono arrivare poichè spetterà  all'organo competente stabilirne l'esatto ammontare. Sarà  infatti valutata la natura, gravità  e durata della violazione, se vi è responsabilità  dolosa o colposa, quali sono state le misure adottate per limitare il danno, il grado di cooperazione con l'Authority e la tempestività  o meno della notifica della violazione, ma anche quali dati sono stati sottratti, il rispetto di precedenti ammonimenti, provvedimenti, ingiunzioni ed altre circostanze aggravanti o attenuanti (benefici finanziari, perdite evitate, ecc.). Anche le organizzazioni no profit e di volontariato, ad esempio, sono soggette a sanzioni, le cui multe saranno appunto valutate dall'Authority, consapevole della loro particolare struttura.

Sanzioni Penali

Il GDPR prevede anche sanzioni penali (che saranno stabilite da una normativa non ancora esistente, ma che dovrà  essere introdotta entro il 21 maggio 2018) qualora si accertasse il trattamento illecito dei dati, la falsità  nelle dichiarazioni e notificazioni al Garante, oltre che l'inosservanza di misure di sicurezza e dei provvedimenti del Garante.

Oltre le Sanzioni

Secondo l'articolo 58, le autorità  possono avvalersi inoltre di una serie di poteri correttivi come la possibilità  di limitare o addirittura vietare un trattamento dei dati da parte dell'azienda. Tutto ciò potrebbe portare l'organizzazione ad interrompere l'erogazione di un servizio o un'attività , a danno dei clienti che potrebbero richiedere un risarcimento. Si potrebbe pertanto in casi estremi ad arrivare a compromettere l'esistenza stessa dell'azienda.

Il DATA PROTECTION OFFICER (DPO)

Anche se già  obbligatoriamente presente in alcune nazioni europee, il GDPR ha introdotto la figura del DPO in tutti i membri dell'Unione. Si tratta di un soggetto indipendente (interno o esterno alle organizzazioni e un gruppo di imprese o soggetti pubblici può nominare un unico DPO) il cui compito è quello di osservare, valutare e organizzare la gestione e protezione del trattamento di dati personali in conformità  alla legge. La sua nomina deve essere obbligatoria per tutti le amministrazioni ed enti pubblici (tranne le autorità  giudiziarie), per i soggetti la cui attività  principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati e per tutti i soggetti la cui attività  principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. AL fine di riuscire nel proprio compito, il Titolare o il Responsabile del trattamento dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie.

Il registro dei Trattamenti

Si tratta di due documenti che censiscono le caratteristiche principali dell'attività  del Titolare del trattamento e del Responsabile del trattamento. La tabella successiva evidenza quali realtà  sono obbligate ad avere questo documento

MA A CHE PUNTO SONO LE IMPRESE?

Secondo un nuovo sondaggio condotto da SAS, nonostante la consapevolezza dell'entrata del GDPR, meno della metà  (45%) delle organizzazioni intervistate ha un piano strutturato per adeguarsi alla normativa e il 58% sostiene che la propria azienda non è del tutto consapevole delle conseguenze derivanti dalla mancata conformità  al regolamento.

Un altro studio Trend Micro, mostra un po' di confusione su come debbano essere esattamente protetti i dati personali: Il 64% del campione, ad esempio, non è a conoscenza che la data di nascita di un cliente è classificata come dato personale. Inoltre, il 42% non classificherebbe i database di e-mail come dati sensibili, il 32% non lo farebbe con gli indirizzi di domicilio e il 21% con l'indirizzo e-mail personale. Le aziende non sono così preparate come credono, sebbene il 79% sia convinto che i propri dati siano già  protetti al meglio.

Ad oggi nessuna azienda è compliance al 100%  ha concluso l'avvocato Ianni  Neppure i grandi colossi americani come Google o Microsoft che pubblicizzano i loro servizi cloud sono perfettamente allineati alla legge. Sebbene abbiano le tecnologie, competenze e risorse per poterlo essere, non esiste ancora una normativa completa a causa di incongruenze tra il GDPR e quella nazionale esistente. Bisogna pertanto aspettare ancora qualche mese. Nel frattempo è bene che le imprese inizino seriamente a muoversi verso la conformità  agli obblighi del GDPR poichè© si tratta di un percorso non semplice.