Adempimenti a carico delle piccole imprese per adeguarsi al GDRP

HomeGESTIONE PRIVACYAdempimenti a carico delle piccole imprese per adeguarsi al GDRP

Adempimenti a carico delle piccole imprese per adeguarsi al GDRP

Il Nuovo GDPR si applica  a tutte le realtà che trattano dati e, pur se pur pensato per le grandi strutture, quali le multinazionali, il mondo bancario e assicurativo, avrà un forte impatto anche sulle piccole e medie imprese. Mentre le grandi strutture e le multinazionali, le banche, compagnie assicurative possono permettersi rilevanti investimenti nell’ottica dell’adeguamento necessario alla nuova normativa, le piccole e medie aziende e i professionisti, non solo non si sono ancora adeguati, ma neppure hanno messo a budget un minimo investimento necessario.
La novità del GDPR è che non detta regole da seguire valide per tutti i titolari del trattamento, cioè per tutti i soggetti pubblici o privati che trattano dati, ma fissa il principio dell’accountability.  Non si prevede l’adozione di “misure minime” che vengono descritte, ma lascia i destinatari delle norme liberi di individuare, a seconda del tipo di dati trattati e del rischio individuato, le misure di sicurezza più idonee a prevenire il rischio ed evitare il verificarsi dell’evento negativo.
Cosa va fatto per adeguarsi non si può individuare genericamente ma è il risultato di una procedura di analisi che ha ad oggetto l’intera struttura organizzativa aziendale.
Le imprese devono sicuramente implementare la protezione dei dati individuando le misure efficaci in aggiunta a quanto già attuato secondo le regole del Codice Privacy del 2003.
ispetto a quest’ultimo, il Regolamento richiede “effettività” anche sotto il profilo delle figure che trattano i dati: il GDPR non prevede espressamente la figura dell’incaricato del trattamento per come era prevista nel Codice Privacy e che era solitamente istruito per iscritto con regole e istruzioni precise.
el regolamento si indica invece l’obbligo per il titolare di “istruire” chiunque tratti dati all’interno della realtà produttiva. Il quarto Paragrafo dell’articolo 32 sulle misure di sicurezza stabilisce che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Quindi il titolare del trattamento dovrà istruire attraverso corsi e processi di formazione il soggetto “istruito” al trattamento dei dati.
Ad ogni modo, il titolare deve innanzitutto capire il “peso” del dato trattato, sapendo che non tutti i dati sono uguali e, quindi, non tutti devono essere protetti allo stesso modo: i dati sanitari, biometrici, ovvero quelli sull'origine razziale sono dati sensibili e di conseguenza, richiedono un sistema di protezione maggiore e perciò l’apprestamento di misure di sicurezza più importanti quali ad esempio la cifratura dei dati e la pseudonimizzazione.
Prima di individuare la misura di sicurezza più idonea (ed anzi, al fine di individuarla) è necessario avere a disposizione una vera e propria “mappa dei dati” che permetta di sapere sempre quale categoria di dato si sta trattando, dove e chi lo sta trattando e per quale finalità siano e come circolino nella struttura aziendale o fuori della stessa.
Perciò, quello che va fatto è:
- effettuare una descrizione puntuale, una “mappatura” iniziale dei dati, cioè individuare i dati che si stanno trattando dividendoli in categorie (dati di clienti, dati di fornitori, dati di dipendenti ecc..);
- effettuare una descrizione puntuale, una “mappatura” iniziale dei trattamenti individuando le finalità e scopi del trattamento e/o dei trattamenti (ad esempio: trattamenti per gestione dei clienti, trattamenti per gestione dei dati del personale, trattamenti a fini di marketing, trattamenti dei dati degli utenti, e così via);
- effettuare una descrizione puntuale, una “mappatura” iniziale degli interessati, ossia descrivere quali tipi di dati si trattano con riferimento ai soggetti che ci forniscono le informazioni (cd. Interessati). Occorre descrivere se si trattano dati di soggetti malati,dati biometrici, di profilazione e individuare il profilo di rischio dei singoli interessati;
- verificare che i dati siano detenuti legittimamente in base ad un consenso espresso o in conformità ad un obbligo legale al quale il titolare del trattamento è soggetto;
- eventualmente integrare e adeguare le informative agli interessati in attuazione del principio di massima trasparenza per raccogliere lecitamente il consenso ai trattamenti;
- effettuare un’analisi del rischio per ogni singolo dato in relazione al tipo di trattamento individuando innanzitutto i profili interni della struttura aziendale che trattano i dati (dipartimenti, uffici, server, soggetti);
- individuare -e descrivere puntualmente- i soggetti che dentro l’azienda, trattano i dati, ossia individuare il titolare del trattamento, il responsabile e/o gli eventuali responsabili interni o esterni, i soggetti autorizzati, i soggetti incaricati, i destinatari, un eventuale Data Protection Officer (DPO) per imprese con più di 250 dipendenti, e, soprattutto, tutti quei soggetti esterni che trattano in outsourcing le informazioni per conto della società;
- indicare e descrivere le attuali misure di sicurezza adottate con una particolare attenzione al livello di protezione per poi passare all’implementazione delle misure di sicurezza;
- mantenere aggiornato il sistema di sicurezza;
- individuare i costi per l’implementazione delle misure di sicurezza e il suo aggiornamento costante.
Effettuata questa ricognizione, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate.
Ai sensi dell’articolo 25 del GDPR.: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
Pertanto, innanzitutto il titolare del trattamento deve curare il principio di minimizzazione del trattamento, facendo sì che i dati trattati siano sempre solo quelli realmente indispensabili al caso concreto. Diventa importante valutare se sono raccolti “troppi dati” o “dati inutili” e se le informazioni sono custodite per “troppo tempo”.  Occorre valutare perciò la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. Ad esempio, il venditore di auto eviterà di acquisire dati in ordine alle preferenze letterarie dei suoi clienti in quanto il dato non è compatibile e necessario per la finalità del trattamento. Il titolare deve mettere in atto le misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
La norma prevede che l’impresa debba garantire la riservatezza e tutela del dato “di default” nei processi aziendali in corso, e “di design” nei nuovi servizi o app che si attivano.
L'articolo 25, in particolare, introduce il principio di privacy by design e privacy by default.
La privacy by default richiede un ripensamento del sistema di trattamento di dati garantendo la non eccessività dei dati raccolti  valutando se già sia rispettata la protezione del dato o se si possa fare qualcosa per migliorarla e per alzare il livello di protezione.
La privacy by design richiede che venga considerata già nella fase di lancio di un servizio o di programmazione di una app o di un software, ossia già nella fase costruttiva, la privacy e tutela della riservatezza.
In pratica il titolare dell’azienda deve parlare con consulenti interni o esterni e con il tecnico informatico per valutare lo stato dell’arte, i rischi reali dei trattamenti nei casi di violazione dei dati anche accidentale (si pensi al dipendente che smarrisce lo smartphone o il computer azienda) e i costi sostenibili.
Se le risorse economiche sono limitate, è opportuno concentrarsi sulla protezione dei dati più sensibili implementando  metodi di cifratura e pseudonimizzazione.
Sono due misure di sicurezza che impediscano di default la esposizione del dato.
La crittografia che si applica cifrando le informazioni sui server, negli archivi e sui dispositivi e può, infatti, rivelarsi essenziale in casi concreti di violazione dei dati anche accidentale (ad es. il dipendente che smarrisce il telefono o il computer aziendale).
La “pseudonimizzazione” è un trattamento dei dati personali che comporta che i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, che, ovviamente (come il pin del bancomat) devono essere conservate separatamente e soggette a misure tecniche e organizzative intese a garantirne la sicurezza.
Tra le misure di sicurezza minime da adottare, è importante per le piccole imprese stabilire delle regole precise e scritte di policy che nell'azienda devono seguire tutti coloro che trattano dati.
Queste misure sono facilmente individuabili sol che si pensi che la protezione deve essere apprestata:
- alla riservatezza del dato e cioè alla protezione delle informazioni da soggetti esterni non autorizzati alla visione e, in generale, al trattamento;
- alla integrità del dato e cioè alla protezione dei dati da alterazioni pericolose tramite, ad esempio, sistemi di antivirus;
- alla disponibilità del dato che impedisce la sua perdita e distruzione tramite, ad esempio, sistemi di backup, uso di server e memorie esterne e altri sistemi di gestione della ridondanza delle informazioni e dei mezzi di trasmissione dei dati.
Ad esempio, è importante:

  • fare un uso corretto degli strumenti informatici, ad esempio, non usarli per scopi privati o per navigare su siti web non consoni alle mansioni lavorative svolte, mantenere sempre i dispositivi e gli ambienti operativi aggiornati e sicuri facendo uso obbligatorio degli antivirus ed evitando di attivare (o disattivando) funzioni che possano aprire falle di sicurezza nel sistema stesso;
  • fare un uso corretto delle risorse condivise, ad esempio cartelle in comune, spazi sul cloud o sulla rete aziendale, indirizzi di posta elettronica condivisi tra più soggetti;
  • evitare di aprire allegati non attesi, di cliccare su link fraudolenti, di rispondere a richieste di credenziali o di codici provenienti da presunte banche, servizi postali o società emittenti di carte di credito,
  • prevedere backup dei dati assistiti da opportune misure di sicurezza;
  • conservare i dati su memorie e dischi esterni e non direttamente sul pc.
    Infine, ci sono altri due profili di cui un’azienda deve tenere conto: la messa a punto di sistemi che consentono di rispondere alle richieste degli interessati e la documentabilità al fine di poter dimostrare in ogni momento all’autorità di controllo e ad eventuali auditor esterni che cosa realmente si è fatto per l’adeguamento alla privacy.
    Sotto il primo profilo, il GDPR prevede una serie di diritti che l’interessato può esercitare, quali il diritto all’accesso dei propri dati o la portabilità.
    L’articolo 20 del GDPR prevede il “diritto alla portabilità dei dati”: l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento, nonché il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, qualora il trattamento si basi sul consenso o su un contratto e il trattamento sia effettuato con mezzi automatizzati.
    Ovviamente l’azienda deve strutturarsi per rispondere all'esercizio di detti diritti. Ciò richiede, in capo all'azienda, un mutamento delle attività informatiche in un’ottica di privacy.
    Sotto l’altro aspetto, l’azienda deve poter dimostrare le attività apprestate, gli aggiornamenti di sistema, i corsi di formazione, le misure di sicurezza implementate – anche per i profili che detta attività è destinata a riverberare in tema di eventuali sanzioni da irrogare – e quindi deve documentare l’attività di privacy.