Il 25 maggio 2018 entra in vigore in tutto il
mondo il regolamento generale sulla protezione dei dati (GDPR) per tutelare il diritto alla privacy dei cittadini dell’Unione Europea (UE). Il regime introdotto dal nuovo regolamento disciplina il trattamento dei dati personali sensibili dei cittadini dell’UE da parte di aziende e organi amministrativi, e prevede pesanti sanzioni pecuniarie in caso di mancato adeguamento.
Ciò non riguarda solo le aziende europee, ma anche quelle con sede al di fuori dell’UE. Sono infatti soggette alle disposizioni del GDPR tutte le aziende che acquisiscono, controllano e/o trattano qualunque tipo di dati personali di cittadini dell’UE, ovunque abbiano sede: America, Africa, Medio Oriente, Asia‐Pacifico e paesi europei non UE.
L’adeguamento a quanto disposto dal GDPR obbligherà gran parte delle aziende ad aggiornare le infrastrutture e i servizi informatici destinati alla protezione dei dati, all’archiviazione, al networking e alla sicurezza. L’adeguamento richiederà anche la formulazione di numerose nuove politiche
e procedure che dipendenti e partner dovrannoessere formati a seguire scrupolosamente.
Per molte aziende, il percorso di adeguamento al GDPR sarà lungo. Visto che la data di entrata in vigore è ormai imminente, Acronis consiglia alcuni interventi concreti da attuare immediatamente per iniziare ad adeguarsi alle disposizioni del GDPR.
ELENCO DEI REQUISITI
Imparate la terminologia di base usata nel GDPR. Come minimo occorre sapere che cosa intende il legislatore con espressioni come dati personali, interessato, violazione dei dati, titolare del trattamento, responsabile del trattamento, autorità di controllo competentee diritto all’oblio. Ve ne sono molte altre, maqueste sono un punto di partenza essenzialenel vostro percorso di adeguamento.
1
Identificate il ruolo della vostra azienda
nella tassonomia del GDPR, che vede da unaparte i cittadini dell’UE e dall’altra le società che
ne trattano direttamente o indirettamente i datipersonali. Siete titolari del trattamento (l’entità che acquisisce e gestisce i dati personali), responsabili deltrattamento (un terzo che tratta i dati personali per conto di un titolare, ad esempio il service provider dello storage su cloud del titolare del trattamento), entrambe le cose o nessuna delle due?
Ad esempio, nel linguaggio del GDPR, Acronis
è al tempo stesso titolare e responsabile del trattamento. Siamo titolari del trattamento per
i clienti UE a cui vendiamo software di backup
e altro software applicativo: quando accettiamo
gli ordini, forniamo assistenza e più in generale interagiamo con loro, acquisiamo alcuni dei loro dati personali come il nome, l’indirizzo, il telefonoe l’indirizzo e-mail.
Secondo la definizione del GDPR, Acronis è anche responsabile del trattamento, in quanto possiede una rete globale di data center usata dai partner per offrire il backup‐as‐a‐service in cloud, storage in cloud e altri servizi. In questo contesto, i nostri partner sono i titolari del trattamento e, poiché trattiamo alcuni dati personali per loro conto
(ad esempio archiviandoli nei nostri data center),noi siamo responsabili del trattamento. L’effetto che avranno su di voi le disposizioni del GDPR dipende in gran parte dalla definizione di questi ruoli.
Fatevi un’idea della situazione di conformità al GDPR degli eventuali sub-incaricati e delle aziende esterne con cui collaborate che hanno a che fare con i dati personali dei vostri clienti.
Ad esempio, se vi servite di provider di servizi di hosting per applicazioni o per siti web, servizi SaaS, di storage in cloud o di altro tipo, è probabile che questi archivino alcuni dati personali di cittadini
UE per vostro conto fungendo da responsabili del trattamento secondo la definizione del GDPR, e che quindi debbano a loro volta adeguarsi al GDPR.
Potrebbe pertanto essere necessario rinegoziare
i contratti e/o i livelli di servizio previsti con alcuni di essi per avere la certezza che adottino le misure per l’adeguamento richieste ai responsabili del trattamento. Se non sono in grado di adeguarsi alle vostre condizioni, per salvaguardare la vostra situazione di conformità dovrete trovare dei nuovi responsabili che lo possano fare. Nel frattempo, fate come se la responsabilità di eventuali problemi di adeguamento al GDPR dei responsabili del trattamento di cui vi servite fosse vostra, in quanto potreste essere ritenuti responsabili per loro dall’autorità di controllo competente del vostro paese.
Ad esempio, Acronis funge da responsabile del trattamento dei dati per molti dei suoi partner. Questi partner devono fare in modo che i contratti stipulati con Acronis per il trattamento dei dati siano modificati con l’indicazione delle modalità con cui Acronis li supporterà nella loro funzione di titolari del trattamento secondo il GDPR. Acronis intende predisporre una modifica che sia valida per tutti i partner e automatizzare il sistema
di recepimento delle modifiche. Questi nuovi contratti saranno messi a disposizione dei partner su Acronis.com e nel nostro Partner Portal con largo anticipo rispetto al 25 maggio 2018, data di entrata in vigore del GDPR. Acronis comunicherà a tutti i partner anticipatamente la data di lancio del sito web, e invierà una nuova comunicazione quando il sito sarà effettivamente attivo.
2
Fate un inventario dettagliato di tutti
i clienti, partner e dipendenti di cui acquisite
o trattate i dati come titolari e/o responsabilidel trattamento per capire se rientrano nei casi previsti dal GDPR. L’accezione di dato personale secondo il GDPR è molto più ampia rispetto a quella della normativa precedente, la Direttiva europea sulla protezione dei dati.
Ora si considerano dati personali tutte le informazioni utilizzabili per identificare un individuo, compresi indirizzi IP, cookie, ID di dispositivi mobile, vari tipi di dati sulla posizione e dati biometrici come le impronte digitali e i tratti del viso. Tenete presente che dovrete chiedere il consenso agli interessati o definire una finalità legittima per la raccolta dei dati personali in ogni caso specifico.
Il GDPR richiede inoltre una grande quantità di documentazione aggiuntiva e di registrazionida parte vostra, comprese le modalità e finalitàdel trattamento dei dati, i soggetti a cui li potete comunicare, i luoghi in cui li inviate,
la durata di conservazione nei vostri archivi e lemisure di sicurezza adottate contro il furto e il danneggiamento.
In più, dovrete documentare chi sono i terzi responsabili del trattamento che utilizzate e
come soddisfano i medesimi requisiti di cui
sopra. Sembra un lavoro lungo, e in effetti lo è; tuttavia, fare un inventario dei dati personali che controllate o trattate è un primo passo essenziale.
3
Analizzate tutti i vostri flussi di dati percapire dove e quando trasmettete datipersonali ad altri paesi o li affidate a terzi responsabili del trattamento. Il GDPR insiste molto sull’ubicazione fisica dei dati personali e stabilisce limiti piuttosto restrittivi sui paesi in cui sipossono inviare, trattare e conservare. In generale,i dati personali devono essere conservati all’interno dell’UE o nel gruppo ristretto di paesi
che l’Unione ritiene dotati di un grado di sicurezza “adeguato”. Altre destinazioni accettabili includono quelle disciplinate da accordi specifici approvati preventivamente da un’autorità di controllo del GDPR: le cosiddette norme vincolanti d’impresa, codici di condotta e sistemi di certificazione.
Sono ritenuti accettabili alcuni paesi firmatari di accordi internazionali sulla privacy con l’UE come il Privacy Shield stipulato fra Unione Europea
e Stati Uniti. Infine, in alcuni casi sono previste “deroghe specifiche” (eccezioni alle regole), come quando l’interessato acconsente esplicitamente a una destinazione con la piena consapevolezza degli eventuali rischi, oppure quando sussistono azioni legali o obblighi contrattuali del titolare o del responsabile del trattamento.
4
Valutate in che misura siete in grado di rispettare il diritto dei vostri clienti UE di ottenere copie dei loro dati personali, correggerli ed eliminarli su richiesta. Questa è una nuova
e importante tutela per i cittadini stabilita dal GDPR. Dare seguito alle richieste di eliminazione, il cosiddetto “diritto all’oblio”, è particolarmente importante, e probabilmente richiederà nuovi investimenti in tecnologie, politiche e procedure.
5
Adottate la crittografia come metodo essenziale per tutelare i dati personali
dalle violazioni della sicurezza. Ove possibile, crittografate i dati personali ovunque risiedano
o transitino nella vostra organizzazione: in transito su LAN e WAN, e nelle infrastrutture e nei servizidi archiviazione e backup vostri o degli eventuali terzi responsabili del trattamento di cui vi servite.Un incidente in cui un pirata informatico sottraggadati personali protetti da crittografia avanzata senza una chiave di decrittografia è considerato comunque una violazione della riservatezza, ma potrebbe non comportare la divulgazione dei dati personali e quindi non richiedere la segnalazione all’autorità di controllo o ai clienti.
6
Passate a un monitoraggio più granulare
del vostro ambiente IT. Il GDPR richiede
alle organizzazioni di mettere in atto misure di sicurezza “adeguate”. Se i vostri sistemi prevedono la registrazione degli eventi, dashboard e altri strumenti di monitoraggio in tempo reale, abilitateli e incaricate un dipendente di controllarli periodicamente. Questo migliorerà la vostra capacità di risposta a potenziali violazioni della sicurezza e ad altre evenienze che possono portare alla perdita di dati personali (come guasti hardware ed errori del personale IT). Sarà inoltre utile qualora dobbiate dimostrare all’autorità di controllo che avete adottato misure appropriate per proteggervi dalle perdite di dati personali e che le eventuali violazioni non sono dipese da errore o dolo da parte vostra, oltre ad altre circostanze potenzialmente in grado di sollevarvi dalla responsabilità e risparmiarvi una multa salata.
Controllate le vostre politiche per il ripristinodopo un incidente di sicurezza, in particolare
le procedure di notifica alle autorità di controllo,
ai partner commerciali e ai clienti in seguito a una violazione grave. Il GDPR impone di intervenire entro 72 ore dalla scoperta della violazione, e in alcuni casi di informare tutti gli interessati coinvolti senza ingiustificato ritardo.
Nota: questo elenco dei requisiti ha fini unicamente informativi. Non vuole essere una consulenza legale e non deve essere considerato come tale. Si raccomanda quindi di chiedere il parere di un legale o di altro professionista prima di mettere in atto eventuali interventi sulla base del contenuto di questo elenco.