Cosa accadrà davvero, cosa fare e come farlo con SOSPrivacy.net

Dopo anni di discussioni e a un anno dalla sua rettifica ufficiale, ci siamo. Il General Data Protection Regulation (GDPR) sta per entrare definitivamente in vigore. Gli interrogativi sono ancora molti.

Cosa potrebbe succedere effettivamente? Quando vedremo scattare le prime multe? Quali tecnologie e processi saranno ritenuti conformi allo standard di “stato dell’arte” imposto dal regolamento? Il GDPR sarà di aiuto o di intralcio all’innovazione?

Ecco alcune ipotesi su quello che potremmo vedere, a partire dalle mezzanotte del 25 maggio.

Nessuna grossa multa…per ora

In base al GDPR, le aziende potrebbero essere sanzionate con multe fino al 4% del fatturato annuo o €20 milioni. È improbabile che venga esercitato subito questo potere, ma queste sanzioni non sono simboliche e col passare del tempo potremmo vedere le prime penalizzazioni. È possibile che la prima grande multa non venga data per una grande violazione, ma per un caso individuale, nel quale un’azienda non abbia rispettato i nuovi diritti del cittadino, circa l’accesso e la custodia dei suoi dati personali. Le conseguenze peggiori riguarderebbero i danni di immagine e relativi alla fiducia, piuttosto che il valore della multa in sé.

Come altro provvedimento, i legislatori potrebbero anche sospendere e vietare il trasferimento dei dati verso altri Paesi, questo spingerebbe l’azienda sanzionata ai margini del business.

Estorsioni legate al GDPR

Il nuovo regolamento stabilisce delle sanzioni economiche in caso non venga rispettato. I cyber criminali potrebbero impossessarsi dei dati di un’azienda, calcolare la probabile sanzione e chiedere una somma di denaro leggermente inferiore, per non rendere pubblica la violazione. Nel caso l’azienda non dovesse cedere al ricatto, i cyber criminali porterebbero avanti l’estorsione vendendo i dati online. E la beffa sarebbe doppia.

Un incidente relativo a un fornitore

Secondo il nuovo regolamento, le aziende che processano i dati, come ad esempio i cloud provider, hanno le stesse responsabilità di chi li controlla, in caso di violazioni. Al di fuori dell’Unione Europea, le leggi in materia di dati sono meno rigide, per questo bisogna assicurarsi che tutti i fornitori abbiano le stesse policy e procedure per mantenere gli standard del GDPR.

Non dire tutta la verità

Nonostante le possibili sanzioni economiche, i danni reputazionali e le interruzioni di servizio, alcune aziende potrebbero essere tentate dal non denunciare le violazioni del regolamento o dal non dire tutta la verità. Magari perché non hanno tutte le informazioni, ed è per questo che un continuo monitoraggio della rete e un piano di risposta agli incidenti sono essenziali, per rispettare il tempo di notifica delle 72 ore imposto dal GDPR. Il regolamento vuole indurre le organizzazioni a essere più trasparenti, non esserlo porterebbe ovviamente a serie e peggiori conseguenze.

Un periodo di aggiustamento

È importante ricordare che il GDPR non è un esercizio di velocità a mettersi in regola in vista di una scadenza singola, ma un processo continuo che si evolve nel tempo. Questo è anche un vantaggio, perché rende possibile un primo periodo di aggiustamento, nel quale i legislatori saranno più morbidi con le organizzazioni in difetto. Per avere successo nel lungo periodo però, le aziende dovranno vedere il regolamento come un processo di business, formulando strategie sia all’interno che all’esterno dell’organizzazione.

Ecco quindi cosa fare per ben operare:

1. Il primo adempimento importante è il registro dei trattamenti previsto dall’art. 30 del Regolamento. Sono esonerate le organizzazioni e le imprese con meno di 250 dipendenti, ma solo se non svolgono i trattamenti critici elencati al paragrafo 5 . E’ consigliabile prevedere il registro dei trattamenti a prescindere dall’obbligo dell’art. 30.

2. Il secondo adempimento “obbligatorio” è la valutazione di impatto dei trattamenti previsto dall’art. 35.
La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; ,
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il nostro Garante non ha ancora reso pubblici “l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati” . Ciò ha creato una situazione di incertezza molto diffusa

3. Il terzo step “obbligatorio” è la predisposizione delle informative (art. 12 ) e del consenso dell’interessato (art. 7).

4. Un altro adempimento che è consigliabile compiere entro il 25 maggio è la nomina del Responsabile della protezione dei dati (RPD o DPO, Data Protection Officer), nei casi in cui è prevista (art. 37 e seguenti).
Del DPO si è parlato molto e molti hanno improvvisato corsi e improbabili “certificazioni”.

5. La sicurezza di ogni singolo trattamento (art. 32) è infine l’ultimo dei 5 indispensabili adempimenti da realizzare entro il 25 maggio. “……..il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”
L’aggettivo “adeguato”è qualcosa di molto più impegnativo delle vecchie “misure minime”, previste dal D.lgs 196/03. Per cui questo deve fare riflettere ulteriormente il titolare del trattamento dati sulla necessità di assicurare un livello alto e compelto della sicurezza dei trattamenti dati

Quello che è importante sottolineare è che il GDPR è qui per restare. Le aziende devono abbracciare il cambiamento e imparare a innovare, crescere e competere in questo nuovo scenario legislativo. SOSPrivacy.net interviene efficacemente attraverso questi strumenti:

  • RichWeb Application Software atto alla produzione della documentazione per l’adeguamento alla normativa 679/2016 in tema di privacy con relativi aggiornamenti
  • storico elaborazioni
  • scadenzario privacy
  • analisi rischi
  • servizio Informativo
  • software controllo log
  • incaricati esterni
  • consulenza norme, regolamenti e nuovo codice della privacy
  • formazione
  • protezione dalle sanzioni
  • gestione delle situazioni in cui il D.P.O. debba essere nominato, scegliendo se “interno” o “esterno”.