Il GDPR scatta il 25 Maggio 2018: sei pronto?
Il GDPR, nuovo Regolamento Europeo per la Privacy e la Protezione dei Dati, scatterà per tutte le aziende il 25 Maggio 2018.Le cose essenziali per orientarsi.
CHE COS’È il GDPR: il Regolamento UE 2016/679
Il nuovo Regolamento (UE)2016/679 per la Protezione dei Dati o GDPR (General Data Protection Regulation) non è tanto un insieme di normative quanto una GUIDA con Principi e Linee da adottare in materia di Protezione dei Dati Personali.
A questo link puoi scaricare tutto il Regolamento GDPR in Pdf in Italiano (88pag)
QUANDO ENTRERÀ IN VIGORE IL GDPR
La data di applicazione fissata dalla Commissione Europea è Il 25 Maggio 2018.
Entro quella data tutte le aziende Europee dovranno aver adottato il nuovo Regolamento.
Precisiamo che, trattandosi di Regolamento e non di Direttiva, non è soggetto a “recepimento” da parte dei Paesi Membri; questo significa che non può essere modificato né prorogato se non dal Parlamento Europeo stesso.
DIFFERENZE rispetto all’attuale “Legge sulla Privacy” D.lgs 196/2003
Rispetto all’attuale Legge Italiana sulla Privacy Dlgs 196, che non sparisce completamente ma verrà “Armonizzata”, viene sostituito il concetto di “Misure Minime” con quello di “Misure Adeguate”.
In definitiva viene lasciata maggiore libertà al Titolare del Trattamento in merito alle misure da adottare ma, con il nuovo “Principio di Accountability”, questi deve essere sempre in grado di DIMOSTRARE le ragioni che hanno determinato le sue scelte in funzione delle linee dettate dal GDPR.
GDPR: opportunità o ennesimo “balzello”?
È certo che i più si staranno facendo questa domanda. È normale che, quando qualcosa viene imposta dall’alto e necessita di cambiamenti e di investimenti non destinati alla produzione, venga accolta non proprio a "braccia aperte".
Tutti abbiamo in mente la “Legge Privacy” Dlgs 196/2003, per la quale pochi si sono attivati e molti, sopratutto le piccole imprese, l’hanno ignorata completamente.
Domanda: Chi sa che cos'era il DPS previsto nella "Legge Privacy" e poi abolito?
Risposta: Probabilmente pochissimi. Infatti il DPS, o Documento Programmatico della Sicurezza, era il fulcro di quel provvedimento e non era altro che un documento su registrare le preocedure sulla Privacy ma, a quanto sembra, ben pochi l'hanno adottato.
Questo è successo perché, a parte il periodo iniziale, in cui tutti gridavano “..al lupo al lupo”, non c’è stato poi un seguito da parte dell’Authority che avrebbe dovuto controllare la corretta applicazione e, le sanzioni scattavano solo quando il danno era tale da non poter taciuto.
Dobbiamo dire che almeno qualcosa di buono la “Legge Privacy” l’ha prodotta, se non altro costringendo i produttori di software a inserire dei processi di autenticazione nei loro prodotti.
Così, almeno ora, difficilmente accediamo ad un computer senza User Name e Password; poi magari la password è 1234 ma, qui speriamo che a sto giro risolviamo anche questi problemi.
Il GDPR, a differenza del Dlg 196, lascia molta più discrezionalità sull’applicazione delle normative e, il suo scopo dovrebbe essere prima di tutto iniettare quella dose di consapevolezza necessaria nelle aziende affinché si mettano finalmente sulla difensiva, soprattutto in materia di cybersecurity.
Negli ultimi anni, noi di Hermes siamo intervenuti diverse volte per affrontare casi hackeraggio, come quello che abbiamo presentato all’ultimo evento CNA sulla cybersecurity che, all’epoca della "Legge Privacy" colpivano solo grosse multinazionali ed enti governativi.
Mai come ora si sentiva l’esigenza di un qualcosa che “stimolasse” le aziende, soprattutto le PMI, a fare qualcosa di più in termini di Sicurezza Informatica e, il GDPR potrebbe essere proprio quello “spillone nel fondoschiena” necessario a far si che qualcosa si muova.
QUANTO può costare ad un'azienda NON ADEGUARSI al GDPR?
Prima di prendere qualsiasi decisione sul GDPR è bene essere consapevoli di cosa si potrebbe andare incontro nel caso di decida di NON ADEGUARSI al GDPR.
Ad un convegno sulla cybersecurity, un'autorevole speaker ha detto questa frase:
“Il problema non è SE vi attaccherrano, piuttosto QUANDO vi attaccheranno!”
In effetti le statistiche degli ultimi anni dicono che, gli attacchi informatici di cui sono state vittima anche piccole e medie aziende, sono aumentati in numero esponenziale e, si è certi che nei prossimi anni la situazione non migliorerà.
A questo punto l’unica difesa è la PREVENZIONE e, in questo, il GDPR può essere una GUIDA utilissima per raggiungere questo obiettivo.
Un attacco informatico che comporti una considerevole perdita di dati, può veramente mettere in crisi chiunque, anche una piccola azienda che, oltre alle sanzioni previste in questi casi, potrebbe dover fare i conti anche con ben altri danni, materiali e immateriali.
SANZIONI
Innanzitutto vediamo quali sono le Sanzioni previste dal GDPR:
Fino a 20 Milioni di €uro
Fino al 4% del fatturato annuo
Non sono poi da escludere possibili implicazioni penali previste dalla legge Italiana per gravi inadempienze, che prevedono pene fino a 3 anni di reclusione.
Abbiamo capito quindi che con il GDPR non si scherza!
È stato calcolato che, fra sanzioni, risorse impiegate a ricostruire i dati, mancato fatturato e danni indiretti dovuti al stress aziendale ed a perdita d’immagine, per un’azienda che fattura c.ca 3 Milioni di €uro, il danno per un attacco informatico non risolto, potrebbe essere quantificato in c.ca 150/200.000 €uro.
Se pensiamo che, ci sono stati casi in giro per il mondo di aziende che non si sono più riprese dopo eventi del genere, non c’è poi da stupirsi granché su questi numeri.
COSA COMPORTA per una PMI adeguarsi al GDPR
Bene, sperando di averti convinto che adeguarsi al GDPR non è solo l’ennesima “tegola burocratica”, a cui nolente o volente bisogna sottostare, bensì un’occasione per introdurre in azienda una nuova cultura nonché una maggiore consapevolezza, ti diciamo in poche parole, cosa comporterebbe nella pratica adeguarsi al nuovo Regolamento Europeo per la Protezione dei DATI:
Gli STEP fondamentali da inserire in un progetto Privacy GDPR si possono così riassumere:
- MAPPATURA dei DATI
- ANALISI dei RISCHI e delle LACUNE
- NOMINE dei RESPONSABILI e attribuzioni di RUOLI tra cui il DPO (Data Protection Officer)
- DOCUMENTARE le misure adottate e tenerle AGGIORNATE (Registro dei trattamenti)
- ADEGUARE L’INFRASTRUTTURA
- FORMARE adeguatamente il personale
- INFORMARE le AUTORITÀ in caso di VIOLAZIONE dei DATI (Data Breach Notification)
- Tenere tutto AGGIORNATO
Nella fase iniziale di impostazione di un progetto GDPR è consigliabile procedere in modo sistematico e organizzato, seguendo una ROADMAP che definisca CHI, COSA, COME e in CHE TEMPI inserire i vari STEP, quali persone coinvolgere, che tipo di documentazione produrre, cosa manca per.., step formativi etc.
Di seguito riportiamo un esempio di come potrebbe essere una ROADMAP GDPR:
Chi è Il DPO: il nuovo ruolo previsto dal GDPR
Il GDPR introduce una nuova figura nel quadro della normativa: il DPO(Data Protection Officer) o Responsabile della Protezione Dati.
Si tratta di un ruolo completamente nuovo che, riassunto in una parola, può essere definito un “Facilitatore" della Privacy da non confondere però con il Titolare ed i Responsabili del Trattamento che hanno altre responsabilità.
Il DPO può essere nominato sia internamente che all'esterno (mediante contratto di servizi), e la sua nomina è obbligatoria negli enti pubblici e, nelle aziende private in alcuni casi particolari.
Tuttavia, anche se è vero che la nomina di un DPO non è sempre obbligatoria, la sua presenza è comunque consigliata dai maggiori esperti Privacy nonchè "gradita" all'Authority, per agevolare l’introduzione, la sorveglianza e la manutenzione delle procedure inerenti al GDPR.
I COMPITI del DPO si possono così riassumere:
- Informare e fornire consulenza
- Sorvegliare che vengano osservate le procedure
- Fare formazione al personale
- Cooperare con l’Autorità di Controllo sul trattamento dei dati
- Informare e relazionare con l’Autorità di Controllo in caso di Violazione dei Dati
INFORMARE le AUTORITÀ in caso di VIOLAZIONE dei DATI (Data Breach Notification)
Questa è l’altra grande novità introdotta dal GDPR.
Dal 25 Maggio 2018 non sarà più possibile “seppellire” una violazione dei dati con il silenzio.
Il GDPR infatti prevede che una qualsiasi violazione che comporti un’alterazione, un accesso non consentito, una perdita o una diffusione non consentita dei dati debba essere notificata entro 72 ore da quando se ne è venuti a conoscenza.
Oltre alla notifica, sarà anche necessario RENDICONTARE e DIMOSTRARE che si è fatto tutto il possibile per prevenire situazioni del genere (Registro dei Trattamenti) nonchè per ridurne l’impatto e i possibili danni derivanti dall'incidente avvenuto.
Questa è la classica situazione in cui la figura del DPO è fondamentale per: gestire ed affrontare l’evento, coordinando le varie risorse e responsabili interni ed esterni e, gestire il post-evento con l’Authority dimostrando che le misure adottate, prima e durante l’evento, erano idonee ed adeguate al rischio che si poteva correre.
Sfruttare il GDPR per mettere al SICURO il proprio BUSINESS
Abbiamo detto che il rischio per una PMI di diventare vittima di un attacco Hacker è aumentato esponenzialmente in questi ultimi anni.
Il GDPR è veramente un'occasione per intervenire sulle proprie difese alzando il livello di sicurezza in maniera sistematica, guidata e consapevole.
A questo proposito puoi leggere il nostro articolo sulla sicurezza informatica con alcuni consigli pratici di cybersecurity.
Nella fase iniziale di analisi dei rischi e delle lacune, uno degli aspetti che andrano sotto la lente d'ingrandimento sarà proprio quello di verificare se il proprio livello di sicurezza è adeguato o comporta dei rischi per i dati.
Ecco in sintesi come procedere
Applicando con metodo e criterio i principi alla base del GDPR alla tua infrastruttura IT, si possono raggiungere livelli di sicurezza che, anche se non potranno mai essere al 100%, possono farti dormire sonni più tranquilli se non altro perchè avresti un piano di azione su come intervenire in caso di incidente senza lasciarti prendere alla sprovvista.
Il GDPR è FINANZIABILE
Avrai sicuramente sentito parlare dei VOUCHER per la DIGITALIZZAZIONE, oppure del SUPER-AMMORTAMENTO ed IPER-AMMORTAMENTO 250 che è stato appena rinnovato per tutto il 2018.
Ebbene queste forme di finanziamento, oltre ad altre disponibili sulla formazione e la consulenza, prevedono tutte la copertura per investimenti in SICUREZZA INFORMATICA e BIG DATA che sono elementi fondamentali in un progetto GDPR.
CORSO di Base GDPR per le PMI
Hermes organizza il 12 Marzo un mini-corso sul GDPR orientato al piccole e medie aziende con le seguenti finalità:
- Cos'è il GDPR
- Concetti e Princìpi CHIAVE
- Il nuovo ruolo del DPO
- Le attività essenziali in funzione dell'"Accountability"
- Cos'è un DATA BREACH
- Link e strumenti utili
Durata del corso: 2 ore
Sede del Corso: sala corsi CNA Faenza
Destinatari del corso: Titolari, Manager, Resp. IT, Resp. Amministrativi, Resp. HR, Resp. Marketing e Commerciale, Resp. Qualità che vogliono sapere qualcosa di più sul GDPR e cosa comporta introdurlo in azienda.
CONTATTACI per maggiori informazioni sul CORSO o per una CONSULENZA GDPR