Nel Giugno 2015 il Parlamento Europeo in relazione alla nuovo Regolamento per la Protezione dei Dati ha adottato il cosiddetto “General Approach”, ossia una versione che si avvia ad essere la versione definitiva. Questo significa che le discussioni a tre, tra Commissione Europea, Parlamento Europeo e Consiglio Europeo porteranno ad una versione definitiva del Regolamento, attesa per fine anno.
Sono attesi ancora alcune modifiche ed aggiustamenti al testo finale, ma qualsiasi esse possano essere, già ora si possono individuare dieci passi che le Società dovranno fare per assicurarsi la compliance e garantire un alto livello di sicurezza nel momento in cui si processano dati personali:
- Porre la protezione dei dati personali tra le priorità del Risk Management. Il Risk Management Officer deve essere conscio dei rischi rappresentati dal gestire i dati dei clienti, dei fornitori e degli stessi dipendenti. Il suo contributo nel misurarli è essenziale per graduare gli investimenti necessari a garantire la sicurezza dei dati.
- Coinvolgere la governance dell’azienda, a partire dal CEO, per avere il giusto livello di coinvolgimento necessario ad assicurare i cambiamenti di carattere organizzativo e tecnologico. Anche se il core business dell’azienda non è rappresentato dalla gestione dei dati personali, questi rappresentano un asset importante da proteggere: qualsiasi danno o violazione rappresenta, oltre a possibili perdite economiche, un danno di immagine.
- Nominare, all’interno del proprio organigramma, le figure di Data Processor, Data Controller e Data Protection Officer (quest’ultima obbligatoria solo per la PA o se espressamente prevista dalle leggi nazionali).
- Coinvolgere il dipartimento IT ed assicurarsi la collaborazione del CIO, in relazione a tutti gli interventi legati alla cybersecurity.
- Svolgere un “data protectio impact assessment (DPIA)” relativo alla protezione dei dati. In questa attività saranno coinvolti tutti gli attori precedentemente individuati e si terrà conto della natura, della portata, del contesto e delle finalità che il trattamento dei dati rappresenta per la propria azienda, così come della probabilità e dell’impatto dei rischi sui diritti e le libertà degli individui.
- Verificare che siano già formalizzate in azienda tutte le procedure relative all’acquisizione del consenso da parte dei Data Owner compreso anche il diritto alla cancellazione dei record personali (Right to be forgotten).
- Disegnare per la propria organizzazione uno scenario target di sicurezza dei dati in linea con le indicazioni del Regolamento Europeo:
- Privacy by design e data protection by default: l’integrità dei dati deve essere parte integrante della progettazione o dell’acquisto di procedure ed applicazioni informatiche.
- Security of processing: i sistemi che processano dati personali devono essere sicuri, robusti e disponibili nel tempo.
- Record of data processing activities: l’accesso ai dati deve essere tracciabile e la tracciabilità deve essere a disposizione delle autorità nazionali su richiesta.
- Breach notification: i danni o le violazioni di dati devono essere scoperti e comunicati dal Data Controller agli interessati ed alle autorità preposte. Il ripristino a seguito di un incidente deve essere completo e tempestivo.
- A seguito di una gap analysis tra le pratiche correnti e lo scenario target delineato al punto precedente, individuare i principali gap organizzativi e tecnologici e quindi pianificare gli sviluppi e la messa in produzione delle misure tecniche ed organizzative per colmare i gap individuati. Nel far questo il regolamento europeo per la protezione dei dati sottolinea un approccio pragmatico, fortemente basato sulla valutazione e gestione del rischio:
- Nell’articolo 30 si sottolinea come il Data Controller ed il Data Processor prenderanno misure atte ad assicurare un livello di sicurezza proporzionale ai rischi rappresentati dal trattamento dei dati e tenendo conto dello stato dell’arte e dei costi della loro implementazione.
- Negli articoli 31 e 32 si precisa che l’obbligo di comunicare danni e violazioni è valido solo per quelle situazioni che dovessero risultare ad alto rischio per i diritti e le libertà degli individui. Se il dato compromesso è criptato o altrettanto validamente protetto, in modo da risultare non intellegibile, il Data Controller non ha l’obbligo di comunicazione.
- Nell’articolo 33 si specifica che il Data Protection Impact Assessment, di cui al punto 5, è richiesto solo nel caso in cui le attività di processo dei dati personali comporti un alto rischio per i diritti e le libertà degli individui, quali la il rischio di discriminazione, furto d’identità, frodi o perdite finanziarie.
- Instaurare corrette relazioni con gli organismi nazionali ed europei incaricati della privacy. I Data Controller nominati al di fuori dell’EU debbono individuare un rappresentante all’interno dell’EU, a meno che le attività di processo dei dati personali non siano, per l’azienda, occasionali e/o non rappresentino un rischio per gli individui.
- Se infine l’azienda processa dati personali sensibili, mettere in atto addizionali misure di sicurezza per assicurare un elevato livello di consapevolezza dei rischi e permettere in tempo reale l’adozione di azioni preventive, correttive e di mitigazione.
Non da ultimo va ricordato che il quadro sanzionatorio, delineato nel Regolamento e tuttora in discussione, con multe fino al 5% del fatturato annuo, risulterebbe rilevante e tale da allineare la Data Protection alle misure per l’antitrust e l’anticorruzione!