Domande frequenti sul GDPR: Cosa deve sapere il team di sicurezza

Domande frequenti sul GDPR: Cosa deve sapere il team di sicurezza

Che cos'è il GDPR e qual è la data di scadenza per la conformità?

Il Regolamento generale sulla protezione dei dati (GDPR) è la nuova legge europea sulla protezione dei dati che sostituisce la Direttiva europea sulla protezione dei dati del 1995 e il mosaico di singole leggi nazionali che hanno implementato la Direttiva in ciascuno Stato membro della UE.

È il risultato di molti anni di negoziazione: la proposta è stata pubblicata nel 2012 ed è stata adottata in maniera definitiva nell'aprile dello scorso anno dal Consiglio dell'Unione Europea e dal Parlamento europeo. La legge è stata approvata in maggio l'anno scorso, dando il via a un periodo di transizione di due anni prima della completa entrata in vigore della legge in maggio 2018

Il GDPR verrà applicato in tutti gli Stati membri della UE, compreso il Regno Unito, a partire dal 25 maggio 2018. È particolarmente importante per le aziende britanniche tenere presente che, nonostante la Brexit, saranno tenute a conformarsi, in quanto il Regno Unito sarà ancora membro della UE all'entrata in vigore del regolamento.

Pertanto, a poco più di un anno di distanza dall'entrata in vigore, analizziamo le grandi questioni sulla sicurezza che riguardano il GDPR:

Che cosa succede in caso di mancata conformità? Di quali proporzioni sono le multe?

Le potenziali multe previste dal GDPR sono molto più elevate rispetto a quelle previste dalle attuali leggi sulla protezione dei dati negli Stati membri dell'UE.

Ad esempio, secondo il Data Protection Act del Regno Unito, la sanzione massima comminabile alle aziende non conformi è di 500.000 sterline, anche se nella pratica le multe sono state inferiori. La sanzione più elevata applicata dall'Information Commissioner (ICO) del Regno Unito è stata a carico del fornitore di servizi di telecomunicazione TalkTalk, multato di 400.000 sterline in ottobre 2016 dopo che le indagini rilevarono che non aveva adottato "precauzioni di base" per proteggere i dati dei clienti.

Tutto questo cambia con il GDPR: a partire da maggio 2018 le sanzioni massime possono raggiungere i 20 milioni di euro o il 4% del fatturato globale, se superiore.

Questo rappresenta un grande cambiamento e altera in maniera significativa i rischi che un'azienda affronta, pertanto avrà un impatto sulle strategie di gestione del rischio.

Quali sono i principali cambiamenti?

Il GDPR prevede numerosi requisiti importanti, ma si può affermare che il maggiore ambito territoriale, la maggiore enfasi sulla trasparenza e i diritti più ampi degli individui rappresentino i cambiamenti più importanti.

Una delle principali novità del GDPR è il suo ampio ambito territoriale, che con ogni probabilità si applicherà a qualsiasi azienda che elabora dati personali nell'UE, che abbia sede nell'UE, nella Silicon Fen (Regno Unito) o nella Silicon Valley. In breve, se il personale, gli appaltatori, i clienti o i fornitori sono cittadini o residenti dell'UE e i loro dati vengono elaborati, è quasi certo che si dovrà risultare conformi o affrontarne le conseguenze.

Trasparenza significa che le aziende devono usare un linguaggio chiaro e appropriato quando definiscono i propri piani sul trattamento dei dati personali: ciò equivale all'eliminazione dell'incomprensibile linguaggio legale. Se l'utente si affida al consenso della persona per elaborarne i dati, tale persona deve comprendere in cosa consiste il suo consenso affinché questo sia valido.

Judith Vieberink, un avvocato olandese di Attorney First, afferma: "Questo significa che la rinuncia non è più sufficiente: nel GDPR i requisiti sono molto più elevati".

Tim Turner, un esperto di GDPR che dirige l'agenzia di consulenza 2040 Training, sottolinea che in base all'attuale Data Protection Act, molto viene lasciato alla discrezione delle organizzazioni e dell'Information Commissioner. Invece, il GDPR è molto più esplicito, con "un linguaggio molto più conciso". Aggiunge: "Al momento, l'Information Commissioner dispone di ampi poteri, difficili però da esercitare".

Qui entrano in gioco i maggiori diritti degli individui. Turner afferma: "La promozione massiccia dei diritti delle persone è una delle chiare intenzioni del GDPR: avvicinare la persona e l'organizzazione in termini di potere".

In questo ambito rientra il requisito del GDPR del "diritto all'oblio", secondo il quale la persona ha il diritto di chiedere a un'organizzazione di quali dati sia in possesso e richiederne l'eliminazione in determinate circostanze.

"Oggi le organizzazioni hanno molte opportunità per trafficare con i dati degli utenti", dice Turner. "La persona avrà molto più potere [grazie al GDPR]."

Chi riguarda maggiormente il GDPR?

Verosimilmente, i titolari dei dati sono i soggetti maggiormente interessati, in quanto avranno molte più informazioni e diritti, sia per quanto riguarda l'utilizzo dei dati che la compensazione da parte delle organizzazioni che non rispettano la legge.

Tuttavia, il GDPR avrà un impatto anche nelle organizzazioni dentro e fuori dalla UE che dovranno conformarsi, e riguarderà anche i gruppi dirigenti nelle aziende: il principio di privacy by design, che rappresenta un pilastro così importante del GDPR, significa che la politica e la strategia sui dati devono essere definite e portate avanti dai vertici, in modo che formino parte del processo, dalle fasi preliminari di definizione dell'ambito del progetto fino alla fornitura e all'esecuzione. Non si tratta di un processo che può essere semplicemente affidato al reparto IT.

Le aziende possono essere tenute a indicare un responsabile della protezione dei dati (DPO), un esperto con il compito di monitorare la conformità e mantenere i contatti con le autorità locali per la protezione dei dati.

Vieberink afferma che "per bilanciare gli interessi commerciali dell'azienda con il diritto alla privacy del titolare dei dati, il DPO deve essere indipendente dal consiglio di amministrazione (art. 38 par. 3 del GDPR) e dai revisori interni ed esterni", aggiungendo: "Si può averne uno nell'azienda, ma bisogna chiedersi: come facciamo a proteggere la sua indipendenza?"

Quale effetto avrà sui responsabili della sicurezza delle informazioni e come possiamo mantenere la conformità?

I responsabili per la sicurezza delle informazioni hanno un compito molto importante da svolgere, tuttavia tantissimi sondaggi indicano che molte aziende europee hanno a malapena cominciato a prepararsi per il GDPR.

Turner afferma che il punto di inizio è "cominciare a raccogliere informazioni. Osservare il flusso di informazioni che entra e esce dalle organizzazioni. Prestare attenzione a chi conserva i dati, chi ne è responsabile. Se non si ha una comprensione strategica di tutto ciò, se non si è a conoscenza di quali asset di informazioni si possiedono, non si può essere conformi".

"La conformità non è un impegno da poco", aggiunge Vieberink.

Quale effetto avrà sulle informazioni che raccolgo dai miei clienti?

Come già menzionato, le organizzazioni che elaborano i dati personali in base al consenso dovranno essere sicure di avere il consenso delle persone delle quali possiedono i dati per poterli conservare ed elaborare (anche se si deve sottolineare che, secondo il GDPR, esistono altre basi legali per le quali non è necessario il consenso– Ed). Inoltre, le organizzazioni dovranno essere in grado di conformarsi al diritto all'oblio. Turner afferma: "Le organizzazioni conservano una grande quantità di dati di cui in realtà non hanno bisogno", sottolineando che dovranno essere in grado di localizzare i dati di un utente ed eliminarli in maniera definitiva.

Cosa succede se i miei dati sono archiviati nel cloud?

Di nuovo, la conformità quando si possiedono dati archiviati nel cloud consiste nel sapere dove sono conservati. L'organizzazione deve dimostrare che i dati sono archiviati e trasferiti in linea con i requisiti del GDPR, cominciando con il "comprendere dove si trovano questi flussi e quali sono i dati archiviati nel cloud", dice Tim Turner.

Inoltre, altri esperti di privacy hanno osservato che le organizzazioni dovrebbero decidere di lavorare solo con fornitori di servizi cloud che offrano garanzie sulla privacy e sulla conformità con il GDPR, dato che alcuni di essi sono ancora impegnati a raggiungere la conformità con il GDPR entro la scadenza di maggio 2018.

Vieberink aggiunge che le aziende devono essere in grado di rispondere alla domanda: "Con chi stiamo scambiando i dati fuori dall'azienda? Quali regole si devono applicare?"

Il GDPR rappresenta un enorme cambiamento per le aziende e richiede una leadership strategica fin dalle prime fasi e per tutto il processo di preparazione e implementazione dei criteri per la riservatezza dei dati. Per le organizzazioni che non si sono ancora attivate, è giunto il momento di farlo.

Crittografia Responsabile della sicurezza di informazioni e comunicazione (CISO) Team legali Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond