Perché essere compliant con la normativa privacy deve essere una priorità assoluta per le aziende italiane?
Il Regolamento Europeo n. 2016/679 sulla protezione dei dati personali (“GDPR”) che entrerà in vigore il prossimo 25 maggio 2018 ha, sostanzialmente, ridisegnato la complessa normativa in tema di privacy, imponendo a tutti i soggetti che trattano dati personali di effettuare considerevoli modifiche alla propria organizzazione.
Essere compliant con la normativa privacy e le modifiche introdotte con il GDPR:
- Inasprimento generalizzato delle sanzioni che possono arrivare a 20 milioni di euro o al 4% del fatturato annuo su scala mondiale;
- Mutamento di prospettiva – dall’analiticità del vecchio codice privacy ( che indicava puntualmente gli adempimenti da eseguire ) si passa al nuovo regime di autoresponsabilità. Tutte le azioni, decisioni del Titolare del trattamento devono essere motivate e documentate;
- Sicurezza dei dati – Il GDPR impone l’adozione di misure di sicurezza adeguate al rischio. Per essere in grado di dimostrare di aver adottato correttamente le misure di sicurezza, è necessario che siano state effettuate approfondite attività di valutazione dei rischi connessi al trattamento dei dati personali. [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
- Privacy Officer – Il GDPR impone che, in alcuni casi, sia nominato obbligatoriamente il Responsabile della Protezione dei Dati (“DPO”). Quando il DPO non è obbligatorio, ma non è nominato occorre motivare espressamente tale scelta aziendale [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
- Registri delle attività di trattamento – Il GDPR impone alle imprese con più di 250 dipendenti di adottare un registro dei trattamenti ( che contiene dati riepilogativi sui trattamenti effettuati ). [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
- Data Breach – Le violazioni dei dati personali ( ad es., conseguenti ad attacco informatico ) devono essere tempestivamente comunicate all’Autorità Garante e, nei casi più gravi, anche agli interessati del trattamento. [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
Essere compliant con la normativa privacy e le opportunità:
- Ad oggi gli asset più preziosi delle aziende sono costituiti dai DATI, in senso lato;
- Essere compliant con il GDPR può costituire l’occasione per assicurare la migliore protezione ai propri DATI;
- La valutazione dei rischi può costituire l’occasione per verificare eventuali falle nel proprio sistema di sicurezza e reagire di conseguenza.
Un caso pratico: Cryptolocker
Di recente, le aziende sono state colpite dal virus Cryptolocker. Si trattava di un ransomware, ossia di un programma maligno che cifrava tutti i dati presenti su un elaboratore, impedendo qualsiasi attività all’utilizzatore della postazione, fino al momento in cui non avesse pagato un determinato importo come “riscatto”.
Molte aziende sono state colpite dal virus ed hanno subito ingenti danni, derivanti in primo luogo da:
- Assenza di backup (sono state costrette a “pagare il riscatto”)
- Assenza di backup aggiornati (in mancanza del pagamento, alcuni dati sono stati irrimediabilmente persi)
- Mancata adozione di procedure efficienti di backup e restore dei dati (le aziende hanno impiegato intere giornate a ripristinare i sistemi informatici)
Ebbene, se queste Aziende fossero state compliant con il regolamento Europeo n. 2016/679 probabilmente non avrebbero subito tali danni.
Questo il ragionamento da effettuare
| RISCHIO | CAUSA | REAZIONE | RISOLUZIONE? |
| Perdita dei dati | Dipendenti che aprono email “sospette” | Formazione ai dipendenti | NO, i comportamenti umani pericolosi non possono essere eliminati |
| Perdita dei dati | Impossibile impedire ai dipendenti di aprire email “sospette” | Adottare sistemi di backup | NO, i backup devono essere effettuati di frequente |
| Perdita dei dati | Backup non effettuati con regolarità | Effettuare backup quotidiani in automatico | NO, occorre anche testare la tempistica del ripristino dei sistemi |
| Perdita dei dati | Backup effettuati, ma non testati | Effettuare a scadenze regolari dei test per il ripristino della disponibilità dei dati e dei sistemi | SI, in questo caso il virus può essere neutralizzato. |
Questo è un esempio di come il rispetto di una previsione normativa, l’art. 32 del regolamento Europeo n. 2016/679, che impone di adottare misure di sicurezza adeguate al rischio, avrebbe consentito all’Azienda:
Di non rischiare di incorrere nelle sanzioni amministrative;
Di evitare di subire i danni economici conseguenti ad un’infezione causata dal virus cryptolocker.
Stay tuned
