Regolamento UE 2016/679: come cambia la protezione dei dati personali a livello Europeo.

Il General Data Protection Regulation o GDPR, è il regolamento generale per la protezione dei dati personali n° 2016/679, la normativa che riforma la legislazione europea in materia di protezione dei dati. Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea ed è entrato in vigore il 24 maggio 2016. Per dare tempo agli stati membri di mettersi a norma con la compliance, l’attuazione del Regolamento è stata posticipata di due anni, cioè il 25 maggio 2018.

Trattandosi di un regolamento non sarà necessario un recepimento, cioè un’inclusione nel proprio ordinamento, da parte degli Stati membri dell’Unione Europea, ma verrà attuato allo stesso modo in tutti i Paesi UE, senza margini di libertà nell’adattamento. Questo è proprio uno dei fini del regolamento: armonizzare il disciplinamento in materia di protezione dei dati personali all'interno dell'Unione europea. In tal senso perciò l’Italia, come d’altronde tutti gli altri Stati, potranno limitarsi ad emanare chiarimenti in relazione ad alcuni aspetti, senza avere una vera e propria loro normativa. 

Da sottolineare che il nuovo regolamento è più esplicito della direttiva 95/46 e proclama, già all’Art.1 par. 2, la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.  

“Art. 1 par. 2

Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”

Base giuridica del trattamento: il consenso

Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Il consenso per essere valido deve essere formulato in un linguaggio semplice e chiaro e deve sottolineare le finalità in modo esplicito, legittimo, adeguato e pertinente, per i quali i dati verranno trattati (Art. 7 definiti in Art. 4). É stato inoltre rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. La base giuridica inoltre è tra gli elementi sostanziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso.

Ambito territoriale

Il regolamento generale si applica a tutti i titolari (controller) e ai responsabili (processor) del trattamento dei dati personali, stabiliti sul territorio dell’Unione Europea m anche, in generale, a quelle figure extracomunitarie, che offrono beni e servizi a persone fisiche residenti nell’UE (Art. 3).

Non si applica nei seguenti casi: 

- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; 

- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); 

- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; 

- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.

Responsabilizzazione

La responsabilizzazione, o accountability, è un punto particolarmente importante del Regolamento. Lo scopo è infatti quello di responsabilizzare il titolare del trattamento, che dovrà concretamente adottare comportamenti proattivi a dimostrazione della pratica adozione del regolamento. Nello specifico si evidenzia il bisogno di attuare misure di tutela e garanzia dei dati trattati, con un approccio che rimette ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento: 

- principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dal principio, prevedendo le garanzie per tutelare i diritti degli interessati; 

- rischio del trattamento: l’approccio è basato sul rischio del trattamento e le misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO). Le nuove norme prevedono, inoltre: 

- per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi; 

- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online; 

- l'istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, con cui l’interessato deve poter chiedere e ottenere la rimozione dei suoi dati da un qualsiasi database, con la stessa facilità con cui ha espresso il consenso al trattamento; 

- l'obbligo di notifica entro 72 ore dall’attacco, da parte delle aziende delle gravi violazione dei dati dei cittadini; 

- le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico); 

- multe salatissime, fino al 4% del fatturato globale delle aziende, in caso di violazioni delle norme.

La Guida 

L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. 

Sono presenti raccomandazione specifiche e suggerite azioni, oltre alla segnalazione delle principali novità, in vista della preparazione all'attuazione del nuovo regolamento.

La nuova scrittura delle norme archivistiche che il governo sta avviando lascia un velo di incertezza su quanto costruito negli ultimi vent’anni.

Con l’approvazione del nuovo CAD nell’agosto del 2016, pensavamo di aver raggiunto la piena maturità nell’ambito della gestione documentale digitale e solo una modesta revisione delle regole tecniche, ci separava dal raggiungimento del traguardo auspicato da quasi un ventennio: un quadro normativo aggiornato, omogeneo, coordinato, non legato alle tecnologie ma ai principi.

Questa revisione però sembra sia stata attesa invano. Tutto faceva pensare che sarebbe stata emanata entro gennaio 2017 eppure, adesso, sembra imminente una completa riscrittura del CAD che, con tutta probabilità, porterà a rimettere in discussione principi, processi, termini, e chissà cos’altro. 

Ma possono le aziende che hanno deciso di investire in questo ambito mettere continuamente in discussione i propri obiettivi?

Come può la nostra informaticamente fragile PA pianificare un adeguato piano di modernizzazione e avvicinamento dei servizi al cittadino in un quadro in eterna evoluzione e comunque mai chiaro e definito?

Da questo punto di vista ci troviamo perfettamente in linea con i principi espressi dall’autorevole Prof.ssa Mariella Guercio (Università Sapienza di Roma), nell’articolo pubblicato recentemente nel portale Agendadigitale.eu.

Per quanto infatti sia impossibile, per ora, una valutazione in merito, visto che le informazioni si limitano alle indicazioni programmatiche del Piano Triennale per l’informatica nella PA 2017-2019, è il metodo di lavoro che non sembra essere rassicurante. A differenza degli scorsi anni infatti, la stesura di questo piano non ha coinvolto le amministrazioni e i professionisti del settore ai quali si darà, presumibilmente, giusto un breve periodo di prova. 

Il punto quindi sembrano non essere le soluzioni specifiche che verranno adottate, quanto l’opacità del processo decisionale. 

La valutazione delle proposte operative che il Piano Triennale individua invece desta preoccupazioni, in quanto appare incerto e poco dettagliato.

La professoressa Guercio afferma nel suo articolo che “La classificazione archivistica ha una funzione originaria essenziale di organizzazione e definizione di relazioni stabili, giuridicamente rilevanti. Non è uno strumento di ricerca e di indicizzazione anche se può fornire basi solide per sostenere processi qualificati di ricerca semantica.” e, come noi, si augura che la revisione del CAD possa includere quindi delle soluzioni soltanto integrative e non completamente sostitutive dei principi archivistici. 

In attesa quindi di chiarimenti sulla materia, non possiamo che attendere.

Chi è il DPO, il Responsabile della protezione dei dati, previsto dal già in vigore Regolamento (UE) 2016/679 che diventerà definitivamente applicabile il 25 Maggio 2018.

Il DPO è una figura esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali e dunque la loro protezione, all'interno di un'organizzazione, affinché questi siano trattati in modo lecito.

La storia

La prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter). In seguito la sua figura fu istituita per la prima volta negli Usa nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. Essa fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. In Italia all’interno del Codice della Privacy (D.Lgs. n. 196/2003) non si fa riferimento al Responsabile della protezione dei dati, ma lo fanno le Linee guida in materia di Dossier sanitario del 4 giugno 2015 dove, in ragione della particolare delicatezza dei dati contenuti nel dossier sanitario, il Garante italiano auspicava che i Titolari del Trattamento individuassero una figura di Responsabile della protezione dei dati che svolgesse il ruolo di referente con il Garante anche in caso di “Data Breach”.Il 24 maggio 2016 è stato approvato il Regolamento (UE) 2016/679, che uniforma la legislazione in materia di protezione dei dati in tutta l’Unione Europea e che, all’art. 37, designa l’obbligatorietà per enti e aziende di nominare un DPO ufficiale. 

Requisiti e compiti

Secondo il testo del regolamento europeo sulla protezione dei dati personali, una volta designato il responsabile, l’organizzazione deve assicurarsi che sia prontamente coinvolto e che possa adempiere alle sue funzioni in piena indipendenza allo scopo di non creare un conflitto di interessi nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa. Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il titolare e i responsabili del trattamento sostengono il DPO nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie quali risorse finanziarie, personale, locali, attrezzature e quanto necessario per adempiere alle sue funzioni. A seconda dell'organigramma stabilito dall'azienda o dall'ente, può esserci anche più di un responsabile, specialmente nei casi di grandi organizzazioni e multinazionali, nelle quali la mole di lavoro prevedrebbe l’impiego di più soggetti.

Ai sensi dell'art. 39 del Regolamento europeo sulla protezione dei dati, il DPO:

a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell'esecuzione dei compiti assegnati;

c. deve avere le risorse necessarie per adempiere ai compiti assegnati;

d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;

e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);

f. deve essere indipendente nell'esercizio delle sue funzioni;

g. non deve essere penalizzato o rimosso per l'adempimento dei propri compiti;

h. è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti;

i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.

L'articolo 39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del DPO, che sono almeno i seguenti:

a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;

b. sorvegliare l'osservanza del Regolamento e delle altre leggi vigenti nell'Unione Europea in materia nonché delle policy;

c. fornire se richiesto un parere sulla valutazione di impatto sulla protezione dei dati personali e sorvegliarne lo svolgimento;

d. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento di dati personali.

Quando si nomina un DPO

In base al Regolamento il DPO deve essere nominato quando:

a. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico: il WP29 dà un’interpretazione estensiva di organismo pubblico e raccomanda, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono incarichi pubblici o che esercitano pubblici poteri. La sua attività dovrebbe però coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).

b. Le attività principali (cd. core business) del titolare del trattamento o del responsabile del trattamento consistono in processi che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati. Per “attività core” si intende un’operazione necessaria per raggiungere lo scopo, appunto, del titolare o responsabile. 

c. Terzo ed ultimo punto: nel caso di trattamento su larga scala di speciali categorie di dati personali o di dati relativi a reati e condanne penali. Il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri quali, ad esempio, il numero di interessati coinvolti, la durata del trattamento e la sua estensione geografica. Tra i trattamenti non su larga scala sono invece compresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato.

Qualora non vi sia obbligo (Art. 37.4 GDPR) il titolare o il responsabile del trattamento possono designare facoltativamente un Responsabile della protezione dei dati riconoscendo il ruolo centrale nella gestione della Data Protection a prescindere dagli obblighi normativi.

Addirittura le linee guida del WP29 incoraggiano le organizzazioni a designare volontariamente un DPO, anche perché è necessario documentare le valutazioni compiute per stabilire se si applica o meno l’obbligo di nomina.

Il DPO, in sostanza, è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa in materia di protezione dei dati e può essere tanto un dipendente quanto un libero professionista.

In merito a questo punto però il Regolamento sottolinea che i suoi compiti e le sue funzioni non devono dar adito a possibili conflitti di interessi: ciò comporta in particolare che il DPO non può mantenere una posizione decisionale in materia, all’interno dell’organizzazione che lo porti a determinare le finalità e gli strumenti del trattamento dei dati personali. 

L’art. 37 non specifica le competenze professionali che dovrebbe avere un DPO, tuttavia appare chiaro che il responsabile della protezione dei dati dovrebbe avere esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, nonché conoscenza del settore di business delle imprese, informatiche e, nel caso di un ente pubblico, dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.

La mole del lavoro e la specifica richieste di così ampie competenze portano a pensare che, nella pratica, il DPO sarà una figura composta da più persone fisiche anziché un unico individuo.

Violento attacco hacker a HOB, l’emittente ammette il furto di alcuni episodi delle sue serie di punta, tra cui Game of Thrones

HBO conferma: l’emittente ha subito un attacco hacker negli scorsi giorni, in cui sono stati sottratti 1,5 terabyte di dati.

La testata Entertaiment Weekly, la prima a parlare pubblicamente dell’accaduto, scrive che gli hacker hanno sottratto un episodio della serie Ballers, uno di Room 104 e, udite udite, anche il quarto della settima stagione del Trono di Spade.

Il Ceo Richard Pleber, attraverso un messaggio di posta inviato a tutti i dipendenti, ha definito l’accaduto “inquietante” forse anche perché il colpo era stato annunciato domenica scorsa, attraverso delle mail anonime con un messaggio chiaro e allarmante: “Ciao a tutta l'umanità. La più grande fuga dell'era del cyber spazio sta avvenendo. Come si chiama? Oh, dimentico di dirlo. É HBO e il Game of Thrones...”

Non è la prima volta che le emittenti televisive sono vittime di questi attacchi: pochi mesi fa era infatti stata colpita Netflix, con un assalto che aveva messo a rischio tutta la quinta stagione di Orange is the New Balck e, nel 2015, erano stati sottratti i primi 4 episodi della quinta stagione sempre del Trono di Spade. È Sony però che finora detiene il record dei cyberattacchi: nel 2014 erano state rubate migliaia di email private dei manager che finirono sul web, per un totale di 100 terabyte di dati.

HBO, attraverso il Ceo Richard Pleber, tranquillizza tutti, assicurando che la sicurezza informatica è tra le loro priorità e che stanno compiendo sforzi enormi per proteggere i loro interessi e che, riportando le parole di Pleber " Come ogni sfida che ci si è presentata, non ho alcun dubbio che supereremo anche questa con successo”.

Grande ottimismo quindi in casa HBO ma intanto, con la scadenza del GDPR sempre più vicina, questi attacchi aprono gli occhi sulla vulnerabilità informatica di tutte le aziende, non solo quelle più grandi.

Sentiremo parlare sempre più spesso di questi casi grazie all’obbligo di denuncia previsto dalla nuova normativa EU.

L’annuncio arriva direttamente dalla banca Unicredit di Milano che, con una nota, denuncia di “di aver subito un’intrusione informatica in Italia con accesso non autorizzato ai dati di clienti italiani relativi solo a prestiti personali”.

Gli hacker, nel corso di due attacchi pervenuti nell’autunno 2016 e nei mesi di giugno e luglio 2017, avrebbero violato i dati di circa 400.000 correntisti nel segmento dei prestiti personali. Fortunatamente, come precisano i portavoce, non sono stati acquisiti elementi sensibili, quali password, che possano consentire l’accesso ai conti dei clienti, permettendo transazioni non autorizzate.

L’attacco è avvenuto tramite un bug presente nei sistemi di un partner commerciale esterno italiano.

La banca ha prontamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tali intrusioni, anche in considerazione del fatto che, nel piano industriale Transform 2019, il Gruppo ha investito circa 2,3 miliardi di euro, proprio alla voce della sicurezza IT.

Nei prossimi giorni la banca si premurerà di contattare tutti i propri clienti ma non via mail o telefonicamente, per motivi di riservatezza. Un numero verde (800 323285) è stato comunque attivato per dare maggiori informazioni in merito.

Unicredit ha subito reagito all’attacco, preparando un esposto alla Procura di Milano e avviando un'indagine interna. Ieri è stata aperta un'indagine, per ora carico di ignoti, per accesso abusivo al sistema informatico e violazione della privacy.

Notizie come questa diventeranno sempre più comuni nei prossimi anni e non perché prima questi attacchi non avvenissero ma per l'applicabilità del Regolamento Europeo 679/16 in materia di protezione dei dati, entrato in vigore a maggio 2016, che sarà però operativo a partire dal 25 maggio 2018. All'articolo 33 della norma si specifica il vincolo per l'impresa a denunciare violazioni “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza”.

La legge, che prevede sanzioni molto forti in merito (fino al 4% dei ricavi annui dell’impresa), permetterà di avere più trasparenza circa l’affidabilità della sicurezza dei sistemi informatici che le aziende utilizzano per proteggere i dati dei loro clienti. Niente più insabbiamenti per salvare la reputazione di grandi marchi quindi, l’Autorità Garante avrà l’obbligo di verificare il livello di sicurezza dell’azienda, che dovrà attenersi a un regolamento molto rigido.

La scelta dei partner con cui si lavora dipenderà sempre più dall’attendibilità e dalle garanzie di sicurezza adottate per poter capire il livello di protezione adoperato sui dati che gli verranno affidati.

La tutela dei dati è stata considerata per anni quasi “opzionale”, con l’approvazione di questa legge invece le imprese non dovranno solo implementare le proprie misure di sicurezza ma anche dimostrare costantemente l'idoneità dei propri sistemi.

Visto il grande numero di dispositivi da controllare e i numerosi canali di accesso, nonché la possibilità di “cavalli di Troia” pervenuti da indirizzi “amici”, pare che la vera sfida non sarà tanto impedire gli attacchi ma rilevarli in tempo.

È sufficiente avere strumenti a norma per poter dire di lavorare a norma?

La necessità di passare dai documenti analogici a quelli digitali e di utilizzare ambienti web per avvicinare i servizi ai cittadini, ha provocato, negli ultimi 10 anni, una notevole produzione di nuove norme e un adattamento di quelle esistenti.

Non poteva d’altronde essere altrimenti, visto che l’introduzione di nuove forme di comunicazione ha comportato la necessità di regolare dinamiche nuove.
Quello che accade sempre più spesso è però che la norma abbia evoluzioni talmente veloci che le strutture operative, e di conseguenza le persone che lavorano per esse, non riescano ad adeguare le proprie competenze al livello richiesto.
Un problema non da poco se consideriamo che la conoscenza è il più grande patrimonio di qualsiasi struttura lavorativa.
A cosa porta questa mancanza di aggiornamento/formazione?
Innanzitutto all’incapacità del personale dirigente a rivedere i processi lavorativi in modo da adeguarli ai nuovi paradigmi e alle nuove regolamentazioni ma anche all’incapacità di gestire gli strumenti software che stanno poi alla base di gran parte di questi cambiamenti.

L’approccio diventa semplicemente quello del mero adempimento, con una scarsa visione d’insieme. Un'impostazione che alla fine difficilmente porta vantaggi per la PA ma complicazioni, ridondanze pericolose e difficoltà di gestione dei procedimenti.

Nell’ambito della gestione documentale, il sommarsi di questi fattori negativi, può portare all’incapacità di trattare o reperire documenti, siano essi file o cartacei, in virtù di una loro scorretta amministrazione, classificazione o aggregazione. Tutto questo fino a perdere l’unitarietà dell’archivio e della sua gestione, quindi l'incapacita di gestire correttamente il fascicolo amministrativo.
In questo quadro risulta quindi chiaro che la semplice adozione di uno strumento software, per quanto adeguato, non può di per sé rendere sereni. Molto più importante è uno studio del processo e la sua revisione in ottica "compliance". Sarà quindi il processo a guidare il lavoro e la scelta/revisione anche del software che dovrà risultare adatto alla nuova strategia.

Le competenze, sia tecnico informatiche sia archivistiche, sono perciò l'elemento chiave che rappresenta un presupposto irrinunciabile.

Nel panorama appena descritto, TECSIS non vuole limitarsi a fornire strumenti software ma anche a guidare i propri clienti nella presa di coscienza della visione d’insieme, proponendo modelli organizzativi mirati a rendere i processi più efficienti, completi e “a norma”.