• IT
  • EN
  • RU
  • FaqContatti

    I numerosi "vertici" che si muovono sullo schermo sono uno strumento a disposizione dei Visitatori di questo sito: basta un click per usarli, per progettare un grande successo!

     

    “Per avere in mano la propria vita, si deve controllare la quantità e il tipo di messaggi a cui si è esposti.”

     - Chuck Palahniuk -

     

    Entro il prossimo inverno il nuovo evento formativo APICES in tema di privacy: alcune considerazioni per anticiparne i temi.

    Posted on 06/06/2017 by Federico Bergaminelli

    Tempo stimato di lettura: 9' 40''

    ABSTRACT - Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede non solo implementazioni tecniche ma modifiche organizzative: l'utilizzo di un approccio proattivo e predittivo. Il Data Protection Officer non può essere un consulente una tantum poiché deve ricoprire un ruolo stabile all'interno della struttura organizzativa, al fine di prevenire le innumerevoli criticità.

    * * * * *

    Il nuovo Regolamento UE sulla Protezione dei Dati personali è sicuramente innovativo ed in linea con le attuali esigenze di protezione delle informazioni. E' strutturato in modo tale da garantire coerenza, bilanciamento e controllo dei poteri degli stakeholders coinvolti. Mira a raggiungere, nel breve e medio periodo, degli obiettivi "difficili".

    La maggior parte delle aziende pubbliche e private, ad oggi, non possiede le caratteristiche e le risorse per adeguarsi: molte problematiche sono rimaste irrisolte dall'entrata in vigore della Direttiva 95/46/EC.

    Pochi soggetti, negli anni, hanno investito in una strategia mirata al raggiungimento degli obiettivi di sicurezza del dato, in quanto la protezione delle informazioni viene ancora considerata un problema esclusivamente informatico: la tematica viene esaminata solo a seguito di una problematica, a danno avvenuto.

    Il drive principale delle aziende rimane il business: la sicurezza dei dati viene spesso considerata solo un costo. E' anche per questo motivo che non vengono implementati piani di continuità, disaster recovery, senza valutare poi la carenza di personale dedicato alla sicurezza informatica.

    Il Regolamento Europeo Privacy prevede che business e protezione del dato procedano parallelamente, di pari passo, e infligge onerose sanzioni a chi non si adegua.

    Nonostante ciò il Management di molti enti pubblici e soggetti privati è composto da strutture che non dialogano tra loro. La condivisione delle informazioni e l'approccio multidisciplinare, componenti indispensabili per una corretta applicazione di una information security governance, si scontrano con la "vecchia scuola" di pensiero.

    Cambiare approccio alla Protezione dei dati.

    Il nuovo Regolamento Privacy rappresenta il significativo cambiamento per le organizzazioni aziendali, processi, forma mentis. Esso stabilisce e prevede non solo implementazioni tecniche ma modifiche organizzative.

    Sebbene il grado di sensibilità e percezione delle problematiche privacy appaia aumentato negli anni, non si è riusciti a scalfire il "vecchio" modello organizzativo che, in mancanza di incisivi interventi, ha consolidato un approccio burocratico di privacy one time e "sulla carta", consolidando la percezione di “una legge sulla privacy”, a dispetto di “una cultura della privacy” .

    Cosa temere.

    Facciamo un esempio pratico calandolo in uno degli ambiti più a rischio, per la protezione dei dati: quello della Sanità, pubblica o privata che sia.

    Forse non tutti sanno che la criminalità informatica, tramite il mercato nero online, offre informazioni sanitarie ad un costo medio di 30 euro a dossier. Il prezzo di vendita aumenta in base all’estrazione sociale dell’interessato e considerando la categoria dei dati presenti, più le eventuali possibilità di business illecito per l’acquirente.

    I rischi ed i costi del “bucare” il sistema informativo di un’azienda sanitaria pubblica sono molto più bassi rispetto a quelli relativi ad entrare abusivamente in un istituto di credito. Inoltre, a differenza del dato finanziario, la cui vita è molto breve – nel caso di una carta di credito clonata può essere al massimo di qualche giorno – sottrarre il dato sanitario è un ottimo investimento perché il tempo di vita delle informazioni è legato all’esistenza della persona, quindi risulta molto più lungo.

    Considerato che un’organizzazione sanitaria gestisce dati di pazienti territoriali ed utenze “di passaggio”, nei database possono essere presenti informazioni di centinaia di migliaia di pazienti. Il valore del patrimonio informativo sanitario di 500.000 pazienti, per esempio, nel mercato nero online è stimato in 15 milioni di euro.

    Favorire un maggiore coinvolgimento degli utenti.

    Uno dei problemi maggiori rimane legato al coinvolgimento ed aggiornamento degli stakeholders, spesso ancorati a pericolose correnti di pensiero che vedono nella privacy e nella sicurezza informatica una superflua "moda del momento".

    Tutto il contesto lavorativo però presenta lacune: in primis i contratti ed i codici di comportamento aziendale, che devono essere adeguati con l'inserimento della data protection nei codici di condotta degli operatori, come ricordato dall'art. 88 (trattamento dei dati nell’ambito dei rapporti di lavoro).

    Il coinvolgimento delle terze parti.

    L'impatto che le terze parti hanno sulla privacy e sulla data security è notevole e purtroppo preso poco in considerazione. Molti casi di data breach sono stati causati da comportamenti ripetitivi ed errati delle terze parti quali: la gestione non corretta delle password, la mancata applicazione delle patch di sicurezza ai sistemi, l'applicazione di aggiornamenti software senza un test di sicurezza preventivo, la mancanza di misure minime di sicurezza.

    Nuove risorse e valutazione delle responsabilità.

    Il Nuovo Regolamento si pone come obiettivo di allineare dal punto di vista della data protection tutti i Paesi della Comunità Europea.

    Abbiamo visto come l’applicazione di tale normativa comporti costi molto elevati, non sostenibili da tutte le aziende, ed infligga pesanti sanzioni a chi non ne esegua le direttive. Risulta inoltre evidente come, anche da un punto di vista meramente economico, i Paesi della Comunità Europea stiano vivendo un periodo di forti cambiamenti che li pone su differenti livelli.

    E’ palese che l'applicazione uniforme del Regolamento, allo stato attuale, sia quantomeno complicata.

    Se le regole diventano più stringenti e anche gli adempimenti previsti dal nuovo Regolamento europeo sono non poco complessi, di riflesso aziende e pubbliche amministrazioni necessitano sempre più di esperti.

    Nuove incombenze possono cambiare le modalità contrattuali.

    Il Regolamento Europeo Privacy stabilisce che anche il Responsabile di Trattamento risponda in maniera diretta davanti alla legge per danni da lui provocati. Ciò è positivo dal punto di vista della responsabilità, perché il fornitore è chiamato a tenere un comportamento più idoneo, ma è svantaggioso dal punto di vista economico.

    I fornitori di servizi informatici oggi sono inquadrati come Responsabili esterni di trattamento: saranno disposti ad assumersi a costo zero responsabilità ed eventuali sanzioni che a tal proposito si presentano come onerose ed a tratti pervicaci dal 25 maggio 2018 ? Potranno infatti arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale le multe per le violazioni del Regolamento UE 2016/679 e, a destare maggiore preoccupazione, è il fatto che da una ricerca condotta dalla Compuware Corporation su un campione di 400 chief information officer è emerso che solo il 28% delle grandi aziende italiane intervistate ha in atto un piano completo per garantire la conformità con il GDPR (fonte Federprivacy).

    Come già suggerito da autorevoli fonti, si dovranno rinegoziare tutti i contratti di fornitura e si dovrà ripartire diversamente la catena delle responsabilità, aggiungendo ulteriori costi ad ogni trattamento.

    Alcune possibili soluzioni.

    Per favorire una corretta relazione tra cittadino ed aziende pubbliche e private, sarebbe opportuno che gli Stati membri promuovessero un'intensa e capillare attività di sensibilizzazione in entrambe le direzioni.

    Per quanto riguarda le aziende, ci si dovrebbe, sin da ora, dotare di una struttura interna di alto livello in grado di governare costantemente sicurezza informatica e privacy, al fine di definire strategie, politiche, percorsi di formazione del personale.

    Tali figure dovrebbero essere coinvolte in tutti i processi chiave dell’Azienda.

    Il ruolo e la funzione del DPO.

    Secondo le best practices, in fase preliminare, il Titolare del Trattamento prende atto delle motivazioni e della fattibilità di adottare il DPO svolgendo un’analisi documentata in recepimento della normativa (GDPR Sez. 4, Art. 37-39) e delle linee guida Data Protection Working Party Article 29 (WP29 del 13/12/2016). Tale assessment dovrebbe evidenziare gli aspetti aziendali legati a tale ruolo, al fine di motivare la scelta dal punto di vista della mission e valutando eventuali responsabilità, conflitti di interesse, costi e benefici.

    Dal punto di vista organizzativo, il DPO deve essere una figura di alto livello che può essere inquadrata nello staff del Titolare come dipendente dell’organizzazione; può anche essere rappresentata da una figura esterna regolarizzata tramite uno specifico contratto (WP29 Guidelines on Data Protection Officers, Art. 2.4). Non è un informatico, né un tecnico, ma un giurista specializzato nella tutela dei dati personali nel settore informatico. Definibile come un vero e proprio ibrido, il D.P.O. unisce competenze informatiche a quelle del diritto vigente.

    Questa professionalità di assoluto rilievo viene chiamata in causa per svolgere molteplici funzioni (GDPR, Art. 39):

    1. valutazione del contesto aziendale (interno ed esterno), dei requisiti delle parti interessate, delle normative applicabili e delle fonti di rischio;
    1. informare ed avvisare gli attori che svolgono il trattamento (Titolare, Responsabile di Trattamento ed Incaricati) dei loro obblighi nella protezione dei dati personali degli interessati;
    1. monitorare la compliance normativa, in particolare con il GDPR e con ulteriori norme specifiche della realtà sanitaria;
    1. attivare il Titolare ed il Responsabile di Trattamento per provvedere al Data Protection Impact Assessment e monitorare le performance (GDPR, Art. 35);
    1. cooperare con l’Autorità Garante: il DPO è l’interfaccia ufficiale verso l’Autorità Garante per richiedere pareri, segnalare eventuali violazioni sui dati personali e gestire eventuali ispezioni.

    Conclusioni.

    Saranno dodici mesi di fuoco, quelli che rimangono alle Aziende per adeguarsi alla nuova privacy europea, anche perché, trattandosi di un regolamento dell'Ue, le nuove misure saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale da parte del nostro Stato, e soprattutto senza previsione di alcun rinvio dell'ultimo minuto.

    Federico Bergaminelli

    Presidente dell'Istituto Italiano per l'Anticorruzione

    Vicepresidente di APICES

    Questo articolo è tratto da www.federicobergaminelli.com .


    BACK TO #APICESPEOPLE

  • IT
  • EN
  • RU