Nuovo regolamento sulla protezione dei dati personali, ecco cosa devono sapere le aziende

09 / 05 / 2018

Mancano solo pochi giorni e a partire dal 25 maggio anche in Italia sarà applicabile il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Una mini rivoluzione in tema di privacy che costringerà tutte le aziende ad adeguarsi a regole più rigide in materia, pena sanzioni molto severe.

Computer Lab, azienda con esperienza ventennale in materia di assistenza e sicurezza informatica, si avvale della professionalità dello Studio Legale Gargano per assistere società e professionisti che ancora non si sono messi in regola. Una consulenza mirata, pensata da professionisti del settore, che approfondisce i vari aspetti: informatici e legali, partendo da una visita presso la sede dell’azienda per approfondire l’analisi dei rischi.

I due professionisti esperti della materia sono il dottor Andrea Leandro, esperto di IT specializzato in pseudonomizzazione e crittografia, amministratore di sistema, responsabile della privacy e informatica forense. Quello che si può definire un “ethical hacker”, ossia chi mette a disposizione le proprie competenze tecniche per sconfiggere gli hacker.

L’avvocato Gabriele Gargano, con studio a Monterotondo, è esperto invece delle questioni legali.

Avvocato Gargano, in cosa consiste il nuovo regolamento Ue sulla protezione dei dati personali e cosa cambia per le aziende?

L’intento del regolamento europeo è quello di disciplinare in maniera più seria e concreta le esigenze dei singoli utenti di aver tutelato il proprio diritto ad avere una sorta di segretezza.

A differenza di quanto avveniva nel 2003 in materia di privacy, quando bastava mettere una firma in calce a un modulo prestampato per non incorrere in conseguenze, adesso l’Italia si è dovuta adeguare a un regolamento del 2016 su basi precise e severe dettate dall’Europa, sia in ambito applicativo che sanzionatorio per quel che riguarda le palesi violazioni.

L’intento è quello di creare una sorta di copertura non solo normativa, parlando ad esempio del diritto all’oblio, ma anche una copertura di natura informatica. Tant’è che all’utente medio, che può essere una società, una srl o semplicemente un palestra, dovrà adottare determinate precauzioni non solo per la sicurezza dei dati, ma anche per la consultazione degli stessi.

privacy-Windows-10-dati-sensibiliCosa rischia una società che non si mette in regola e che tipo di servizio offrite?

La sanzione può arrivare fino al 4 per cento del fatturato annuo. Si può tranquillamente ovviare alla sanzione, semplicemente prendendo gli accorgimenti che la nostra società è in grado di fornire. È prevista una prima visita da parte dell’esperto informatico, il quale verificherà quali sono le falle del cliente. Verrà redatta una relazione in cui verrà messo nero su bianco riguardo cosa è stato rilevato e cosa non è perfettamente adeguato rispetto alla normativa, oltre a cosa bisognerà fare per renderla totalmente conforme a quanto viene richiesto.

Successivamente verrà prestata una consulenza di natura legale riguardo l’informativa privacy da fare firmare ai clienti.

Facciamo un esempio. Se sono il proprietario di una palestra e lo scorso anno ho fatto firmare la normativa privacy a un cliente, prima di farlo avere nuovamente in palestra, devo chiamarlo e fargli firmare il consenso alla nuova normativa. Dopodiché posso farlo entrare.

Se questo cliente passando la sua scheda rende visibili i suoi dati, io in qualità di titolare dei dati del signore, posso incorrere in eventuali sanzioni.

Dottor Andrea Leandro, quali sono gli errori più comuni da evitare per un’azienda?

Mi rifaccio a un’indicazione del Garante per la privacy che parla di minimizzazione dei dati. L’errore in cui si può incorrere è per esempio, quello di dare accesso ai dati a chi non è attinente a quel tipo di necessità. Il dipendente deve poter accedere ai dati a lui strettamente necessari per dar luogo all’azione che deve fare personalmente. Non tutti devono poter accedere a tutti i dati del cliente, ma solamente a quelli che gli servono. Quindi bisogna esporre il meno possibile i dati del cliente.

Ci sono due dettami di impostazione della normativa che parlano di “privacy by design” e “privacy by default”. Il primo ci dice che non esiste più il silenzio assenso. Il secondo sta a significare che se non ci sono indicazioni specifiche a riguardo, bisogna tutelare il più possibile la privacy di una persona, al limite rinunciando ad avere i suoi dati.

Riprendendo l’esempio della palestra. Dal punto di vista dell’applicazione informatica della normativa, io non posso tenere i suoi dati. Il cliente può consultarli, aggiornarli o chiedere il diritto all’oblio. Ossia può scegliere di non voler più esistere per quell’azienda, costringendo a cancellarli. Ci sono 15 giorni di tempo, altrimenti si va sul penale. L’alternativa qual è? Cancellare i dati delle persone.

Altro possibile problema. Se avviene un furto in azienda e i ladri portano via anche i computer con i dati privati delle persone. Cosa si rischia e cosa andrebbe fatto per evitare un possibile furto di dati?

Il concetto di responsabilità è centrale con il nuovo regolamento. C’è una responsabilità diretta sui dati delle persone di cui siamo in possesso e quindi sui dati che eventualmente possono essere sottratti.

Quello che mi si può chiedere è: cosa hai fatto per tutelare i dati dei clienti? Non si può rispondere come dico scherzando: “Ho messo la password a Windows o al programma gestionale”. Non è una sufficiente protezione. Senza addentrarmi in tematiche troppo tecniche, si usano pseudonomizzazione, criptazione, data masking. Cosa significano queste parole? Che se io rubo un computer e me lo porto a casa e provo ad accedervi, non ci riesco. Perché ho usato dei mezzi informatici per impedire che i dati siano accessibili a chiunque. Una cosa semplice da spiegare è criptare l’hard disk, ossia rendere illeggibili in modo ragionevolmente sicuro e no fruibili i dati all’interno.

In questo senso un tema che mi sta particolarmente a cuore è quello dell’analisi dei rischi che si può fare su qualsiasi attività, addirittura su chi non ha il computer ma usa esclusivamente il cartaceo. Non è possibile essere in regola ragionevolmente con la normativa, stendendo solo il documento sulla privacy, ossia la policy aziendale che si può realizzare addirittura “a distanza”. Essere messi in regola da qualcuno a distanza non lo reputo sufficiente, ma non è la mia idea è la realtà. Bisogna prevedere una relazione perimetrale sia fisica che informatica. Quella fisica potrebbe riguardare un armadio chiuso a norma, ignifugo, cui non abbia accesso chiunque. Dal punto di vista dell’informatica e di internet è un discorso più complesso. Oggi la fibra non ha fatto altro che aumentare il pericolo di un accesso esterno.

Subire un furto di dati via Internet non è più fantascienza e per questo motivo bisogna cautelarsi. Io devo dimostrare, in caso di malaugurato evento di perdita dei dati, di aver avuto tutte le cure possibili per averli protetti.

Ad esempio devo criptare un hard disk, proteggere la rete con un antivirus professionale, mettere un firewall, ossia un apparecchietto che limita di molto le possibilità di accesso dall’esterno, perché Internet è una porta di entrata diretta nelle nostre case.

Quindi avere queste cautele non si può certo fare a distanza.

Il nuovo regolamento prevede che in caso di furto bisogna comunicarlo al Garante entro 15 giorni e dobbiamo avvisare anche le persone soggette al furto dei dati personali. La norma specifica che dobbiamo essere in grado di ricostruire il prima possibile l’archivio.

Il mio consiglio è che per sentirsi cautelati non solo affidarsi a professionisti, ma accertarsi che ci sia una visita in loco.

 

Info

0645214568

[email protected]

[email protected]