Essere compliant con la normativa privacy

3 Novembre 2017

3 minute read

Dark Light

Perché essere compliant con la normativa privacy deve essere una priorità assoluta per le aziende italiane?

Il Regolamento Europeo n. 2016/679 sulla protezione dei dati personali (“GDPR”) che entrerà in vigore il prossimo 25 maggio 2018 ha, sostanzialmente, ridisegnato la complessa normativa in tema di privacy, imponendo a tutti i soggetti che trattano dati personali di effettuare considerevoli modifiche alla propria organizzazione.

Inasprimento generalizzato delle sanzioni che possono arrivare a 20 milioni di euro o al 4% del fatturato annuo su scala mondiale;
Mutamento di prospettiva – dall’analiticità del vecchio codice privacy ( che indicava puntualmente gli adempimenti da eseguire ) si passa al nuovo regime di autoresponsabilità. Tutte le azioni, decisioni del Titolare del trattamento devono essere motivate e documentate;
Sicurezza dei dati – Il GDPR impone l’adozione di misure di sicurezza adeguate al rischio. Per essere in grado di dimostrare di aver adottato correttamente le misure di sicurezza, è necessario che siano state effettuate approfondite attività di valutazione dei rischi connessi al trattamento dei dati personali. [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
Privacy Officer – Il GDPR impone che, in alcuni casi, sia nominato obbligatoriamente il Responsabile della Protezione dei Dati (“DPO”). Quando il DPO non è obbligatorio, ma non è nominato occorre motivare espressamente tale scelta aziendale [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
Registri delle attività di trattamento – Il GDPR impone alle imprese con più di 250 dipendenti di adottare un registro dei trattamenti ( che contiene dati riepilogativi sui trattamenti effettuati ). [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];
Data Breach – Le violazioni dei dati personali ( ad es., conseguenti ad attacco informatico ) devono essere tempestivamente comunicate all’Autorità Garante e, nei casi più gravi, anche agli interessati del trattamento. [ la violazione di questi obblighi è sanzionata con una sanzione fino a euro 10.000.000 o 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore ];

Essere compliant con la normativa privacy e le opportunità:

Ad oggi gli asset più preziosi delle aziende sono costituiti dai DATI, in senso lato;
Essere compliant con il GDPR può costituire l’occasione per assicurare la migliore protezione ai propri DATI;
La valutazione dei rischi può costituire l’occasione per verificare eventuali falle nel proprio sistema di sicurezza e reagire di conseguenza.

Un caso pratico: Cryptolocker

Di recente, le aziende sono state colpite dal virus Cryptolocker. Si trattava di un ransomware, ossia di un programma maligno che cifrava tutti i dati presenti su un elaboratore, impedendo qualsiasi attività all’utilizzatore della postazione, fino al momento in cui non avesse pagato un determinato importo come “riscatto”.

Molte aziende sono state colpite dal virus ed hanno subito ingenti danni, derivanti in primo luogo da:

Assenza di backup (sono state costrette a “pagare il riscatto”)
Assenza di backup aggiornati (in mancanza del pagamento, alcuni dati sono stati irrimediabilmente persi)
Mancata adozione di procedure efficienti di backup e restore dei dati (le aziende hanno impiegato intere giornate a ripristinare i sistemi informatici)

Ebbene, se queste Aziende fossero state compliant con il regolamento Europeo n. 2016/679 probabilmente non avrebbero subito tali danni.

Questo il ragionamento da effettuare

RISCHIO	CAUSA	REAZIONE	RISOLUZIONE?
Perdita dei dati	Dipendenti che aprono email “sospette”	Formazione ai dipendenti	NO, i comportamenti umani pericolosi non possono essere eliminati
Perdita dei dati	Impossibile impedire ai dipendenti di aprire email “sospette”	Adottare sistemi di backup	NO, i backup devono essere effettuati di frequente
Perdita dei dati	Backup non effettuati con regolarità	Effettuare backup quotidiani in automatico	NO, occorre anche testare la tempistica del ripristino dei sistemi
Perdita dei dati	Backup effettuati, ma non testati	Effettuare a scadenze regolari dei test per il ripristino della disponibilità dei dati e dei sistemi	SI, in questo caso il virus può essere neutralizzato.

Questo è un esempio di come il rispetto di una previsione normativa, l’art. 32 del regolamento Europeo n. 2016/679, che impone di adottare misure di sicurezza adeguate al rischio, avrebbe consentito all’Azienda:

Di non rischiare di incorrere nelle sanzioni amministrative;
Di evitare di subire i danni economici conseguenti ad un’infezione causata dal virus cryptolocker.

Stay tuned

Author

Roberto Alma

Fondatore e Partner dello Studio KBL Law, realtà che fornisce servizi di assistenza e consulenza legale ad imprese, fondi di investimento ed investitori privati in materia di: Diritto commerciale e societario; Contrattualistica BtoB & BtoC; M&A ed Operazioni Straordinarie; Emissione di Strumenti Finanziari di Debt e Semi-Equity; Proprietà Intellettuale; Start up; Diritto dell'Informatica e delle Nuove Tecnologie; Diritto della Privacy e Data Protection; Sport, Media & Entertainment. Fondatore e curatore del blog "Ius in Action". Appassionato di programmazione (stack javascript) Google

Lascia un commento Annulla risposta

Sign Up for Our Newsletters

Get notified of the best deals on our WordPress themes.

Sottrazione di bitcoin e wallet digitali: quali conseguenze?

Mancata conversione di strumenti finanziari partecipativi

Popular Now

Presupposti per la deduzione dei compensi degli amministratori

La violazione del principio di minimizzazione

Essere compliant con la normativa privacy e le opportunità: