Protezione dati e CYBERSECURITY, l’importanza del DPO

Già in precedenza la redazione di C.I.LP. Italia ha trattato il tema relativo al Business dei Dati e alla protezione dati, un business altamente remunerativo quanto illegale, generato dal furto di dati sensibili, personali e aziendali, giacenti sulle piattaforme informatiche (Cloud, siti internet, social media, ecc).

Un business miliardario, di cui tutti siamo consapevoli (e forse qualcuno anche un pò rassegnato), ma a protezione del quale in pochi decidono di adottare apposite misure di sicurezza.

Partiamo da qualche dato numerico.

Il GDPR entra ufficialmente in vigore il 25 maggio 2018, da questa data ogni azienda che non adatta le procedure interne alla normativa dettatta dal Garante, viene colpita da una multa di valore economico molto elevato.

Eppure, ad un anno dall’emanazione del GDPR, poco più del 23% delle aziende italiane risultava essere in regola con il suo dettame normativo.

PROTEZIONE DATI

Attualmente, la situazione sembra sicuramente migliorata e molto più rassicurante: più recenti analisi percentuali dell’indagine al riguardo hanno mostrato che gran parte delle aziende italiane oggi ha maggiore consapevolezza dell’importanza della protezione della privacy e della necessità di un adattamento concreto alle richieste normative del GDPR. In molte hanno anche predisposto un budget dedicato per le spese di adeguamento dei sistemi e delle procedure aziendali.

Ma perchè il GDPR è così importante? Perchè non bisogna sottovalutare la necessità di adattamento a questa normativa e perchè dovrebbe appartenere al senso comune adeguarvisi?

COS’E’ IL CYBERSPAZIO E COSA ACCADE AL SUO INTERNO?

Il cybrspazio, o spazio cibernetico, altro non è che lo spazio virtuale, quello astratto e impercettabile creato da computer, reti telematiche e ogni altra tecnologia elettronica e informatica. È il mondo della realtà virtuale, impercettibile e astratto appunto, ma non certo immaginario. È una realtà concreta al punto che le legislazioni internazionali si sono predisposte alla sua regolamentazione. Il motivo è semplice: ciò che rende estremamente rilevante tutto quanto accade all’interno del cyberspazio è il fatto che questo si compone di un complesso infinito di informazioni e dati (personali e non) provenienti dai dispositivi informatici e telematici che lo creano. Detti dati circolano ininterrottamente nello spazio virtuale in un sistema di collegamenti e interazioni continue che, arricchendosi di ulteriori dati di volta in volta tracciati, arrivano a definire profili dettagliati di persone, cose, aziende, luoghi, bisogni e ogni altro tassello che, di fatto, muove il mercato globale.

PROTEZIONE DATI

QUALI DATI CIRCOLANO NEL CYBERSPAZIO?

L’identità.

L’identità di ciascuna persona è ormai perfettamente tracciata e definita nel Cyberspazio. A determinare ciò è ogni forma di interazione cibernetica quotidiana compiuta da qualunque essere umano. Si pensi alle situazioni più comuni: l’invio di Curriculum Vitae online, l’anagrafica clienti di un supermercato realizzata per il tramite delle carte fedeltà, lo storico dati dei pazienti di uno studio medico catalogato all’interno di cartelle cliniche in appositi Cloud. Ancora, il database informatico dell’Agenzia delle Entrate o di enti quali INPS, AUSL, agenzie di recruitment.

 

I DATI

Moltissimi database dati sensibili. I dati contenuti in questi database sono sempre a rischio.

Pensiamo agli esempi pratici fatti pocanzi sui dati contenuti nei Curriculum Vitae, nelle cartelle cliniche, negli account online (gioco scommesse, compagnie aeree, servizi di streaming, ecc.).  Da questi dati è possibile estrapolare nomi, indirizzi di residenza e domicilio, luoghi di lavoro, abitudini quotidiane, di spesa e di interessi, amicizie, luoghi frequentati, viaggi fatti o in previsione di prenotazione. E’ possibile tracciare un profilo perfetto di una persona, collocandola in un preciso luogo ad un certo preciso momento.

Ebbene, questo sistema di controllo globale di ogni persona, fisica o giuridica che sia, per quanto utile alla lotta contro la criminalità organizzata è, al contempo, in grado di fornire a questa gli strumenti perfetti per proliferare.

Si pensi all’ipotesi di hackeraggio nei confronti di qualunque database aziendale, anche di un’azienda di piccola o di media dimensione. L’hacker, in caso di riuscita positiva al suo attacco informatico, avrebbe a disposizioni i dati contrattuali dei dipendenti, dei collaboratori, dei clienti, i budget disponibili e in allocazione, i bilanci e le spese. Praticamente tutto.

Proteggere i dati di un’azienda è molto importante. Questi dati, infatti, contengono notizie personali e finanziarie, ma anche intellettuali e industriali. Il furto di tutto quanto concerne brevetti, processi aziendali e simili, affidato nelle mani sbagliate, condurrebbe ad un’alterazione significativa della privativa industriale aziendale, ripercuotendosi negativamente sulla competitività e sul posizionamento  di mercato della malcapitata azienda.

Si pensi al danno all’immagine e alla reputazione di un’azienda che si lascia depauperare dei dati sensibili dei propri clienti. L’inevitabile perdita di fiducia dei clienti esistenti (e dei potenziali nuovi), comporterebbe un crollo nelle vendite nonchè un calo di partner commerciali.

IN TEMA DI PROTEZIONE DATI PREVENIRE E’ MEGLIO CHE CURARE!

È vero che i reati contro la privacy, come tutti i reati,  sono puniti dall’ordinamento giuridico con un apposito sistema sanzionatorio, ma è pur vero che azionare una procedura per risarcimento danni, oltre che a prevedere tempi lunghissimi per una concreta realizzazione e costi esosi da affrontare, non prevede un ritorno al passato, allo status quo ante la violazione.

Avendo sempre ben presente il principio che “prevenire è meglio che curare”, si specificano, di seguito, quali sono i mezzi di prevenzione dei reati che colpiscono la privacy.

Quadro normativo di riferimento:

  • La tutela della privacy – D. Lgs. 196/2003;
  • Lgs 101 Garante della Privacy;
  • Regolamento UE 2016/679 – noto come GDPR, General Data Protection Regulation .

La protezione dei dati ex GDPR, dei quali la redazione C.ILP. Italia ha già trattato l’adempimento nell’articolo “GDPR Compliance – Il business dei dati” è notoriamente una normativa complessa e spesso di difficile comprensione per i non operatori del diritto.

La erronea interpretazione di una normativa siffatta, come ampiamente spiegato, può sottoporre l’utente a gravi conseguenze sul piano della lesione della privacy, oltre che, non si dimentichi, a multe veramente costose da parte del Garante.

Con l’entrata in vigore del GDPR, il 25 maggio 2018, non è stato del tutto abrogato il D.Lgs. 196/2003 (Codice del trattamento dei dati personali) ma soltanto alcune delle disposizioni in esso contenute sono state modificate, integrate e, comunque, rese conformi al quadro normativo delineato dal GDPR.

 

QUALI SONO LE SANZIONI PER LA NON OSSERVANZA DELLA PROTEZIONE DATI?

Il regolamento europeo prevede due livelli sanzionatori (Art. 83 GDPR) per i casi di violazione delle disposizioni imperative in esso contenute:

  • Il primo livello comprende sanzioni a ministrative pecuniarie cosiddette di minore gravità: fino a € 10.000.000 e per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Le violazioni riguardano, nello specifico, gli obblighi imposti ai seguenti soggetti:

  • il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
  • l’organismo di certificazione, Accredia;
  • l’organismo di controllo dei codici di condotta (art. 41 GDPR).
  • Il secondo livello di sanzioni amministrative pecuniarie, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, comprende sanzioni fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Le violazioni riguardano, nello specifico, le seguenti violazioni:

  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • dei diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

 

SONO PREVISTE ANCHE SANZIONI PENALI PER LA NON OSSERVANZA DELLA PROTEZIONE DATI?

Con riguardo alle sanzioni penali, se da un lato il GDPR non ne prevede direttamente, è ammesso dall’altro lato la facoltà per gli Stati membri di stabilire disposizioni relative a sanzioni penali per violazioni del GDPR, nonché di violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento (Considerando 148).

Anche in questo caso è intervenuto il Decreto, modificando le fattispecie penalmente rilevanti già previste dal Codice Privacy ed integrando le stesse con ulteriori violazioni.

Le fattispecie per cui saranno applicabili sanzioni penali sono, quindi, ai sensi del riformato Codice Privacy:

  • 167 (Trattamento illecito dei dati)
  • 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
  • 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
  • 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
  • 170 (Inosservanza dei provvedimenti del Garante);

 

DPO, DATA PROTECTION OFFICER

Se passiamo ad approfondire chi sia il responsabile della protezione dei dati e chi risponde legalmente della loro violazione; nonchè a chi vanno applicate le suddette sanzioni, la risposta è soltanto una.

Il responsabile è la figura del DPO, Data Protection Officer.

Il Data Protection Officer è il responsabile della protezione dei dati designato dal titolare e dal responsabile del trattamento dei dati stessi. Ha il compito di assicurarsi che tutte le norme del GDPR siano applicate in modo ineccepibile e quindi protegge l’azienda dalle sanzioni. È un Security Manager, addetto alla gestione della sicurezza dei dati personali, aziendali.

 

COME INDIVIDUARE E SELEZIONARE IL DPO

La figura del DPO, per quando non inquadrabile normativamente all’interno di uno specifico albo professionale, secondo il GDPR, deve identificarsi in un soggetto di alto spessore professionale; può, quindi, essere un dipendente. del titolare del trattamento o del responsabile del trattamento, oppure, può adempiere ai suoi compiti in base a un contratto di servizi ed essere anche un libero professionista.

Il DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda lo svolgimento dei propri compiti. Il Regolamento specifica (art. 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento.

Questo soggetto deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, sia da parte del titolare del trattamento, sia dal responsabile del trattamento. Gli interessati possono contattare il DPO per questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

L’art. 39 del Regolamento individua i compiti del DPO. Egli ha importanti funzioni di carattere consultivo a favore del titolare e del responsabile del trattamento su tutte le tematiche privacy con un’attenzione particolare rivolta al DPIA (Data Protection Impact Assessment) ed al Registro delle attività di trattamento. Rilevante è anche la sua funzione di raccordo con l’Autorità Garante e di controllo sull’osservanza del Regolamento nell’ambito dell’azienda o ente di riferimento.

Si consiglia vivamente di assumere, in qualità di proprio responsabile della protezione dei dati,  una persona qualificata per ricoprire questo ruolo delicato. Se si opta per una persona interna all’azienda, si invita a garantire al futuro DPO una preparazione in materia di privacy e costanti aggiornamenti sia normativi che procedurali.

 

C.I.LP. ITALIA E PROTEZIONE DATI

C.I.LP. Italia, nata per supportare interattivamente lo sviluppo economico delle aziende italiane, incoraggia il lettore a mettersi in contatto con l’Associazione tramite la pagina CONTATTI del sito web.

Disponiamo di figure professionali ad hoc e servizi specifici per ogni esigenza aziendale.

1

Leave a comment