GDPR: arrivano i primi ricorsi in tutta Europa

GDPR

Il Regolamento UE/679/2016 (GDPR) è in vigore da poco più di una settimana e già diversi sono i ricorsi presentati alle autorità garanti europee.

Ciò è quanto emerge dalle dichiarazioni di Andrea Jelinek, membro alla guida delle autorità garanti dei 28 Stati facenti parte dell’Unione europea: il 25 Maggio 2018, noto a tutti come lo zero-day in materia di protezione delle persone fisiche nel trattamento e libera circolazione dei dati personali, oltre a segnare l’entrata in vigore del GDPR (General Data Protection Regulation) ha dato anche il “via” ai controlli e verifiche delle autorità competenti ad accertare il pieno adeguamento delle aziende ai requirements richiesti dalla novella normativa.

La maggior parte dei ricorsi riguarda difformità inerenti raccolta dei consensi e modalità di trattamento dei dati personali, non adempienti al GDPR.

Nonostante i diversi “alert” che hanno nel corso dei 2 anni di vacatio legis stimolato aggiornamenti al sistema di gestione privacy aziendale e nonostante la fresca entrata in vigore del Regolamento europeo, diversi sono i reclami giunti ai garanti nazionali per presunti “data breach”: la maggior parte di essi presentano difformità inerenti raccolta dei consensi e modalità di trattamento dei dati personali, non proprio “compliant” con quanto richiesto dal GDPR.

“Il consenso deve essere richiesto correttamente ed in modo comprensibile per l’interessato”

A tal proposito, lo stesso Jelinek (presidente del neonato European Data Protection Board) ha sottolineato come “il consenso al trattamento dei dati è lecito solo se richiesto correttamente ed in modo comprensibile per l’interessato”, aggiungendo, in merito allo specifico caso Facebook, che “non si può privare la gente dei servizi se non hanno espressamente previsto il consenso ad altri ed ulteriori servizi accessori, ma ciò deve essere valutato caso per caso”.

Oltre al caso di Cambridge analitica in UK, allo scandalo Coca Cola USA ed alle sanzioni del garante italiano che hanno colpito i colossi della telefonia Tim mobile e Fastweb, un altro caso è sottoposto alla valutazione dei garanti europei, a solo 5 giorni dall’entrata in vigore del Regolamento UE/679/2016: ciò è un monito non solo per le imprese multinazionali, ma anche per professionisti e PMI.

Verifiche e controlli non esenteranno nessun player di mercato: pertanto è importante prevedere e continuare ad operare un corretto adeguamento della normativa europea in ottica di non essere colti impreparati dalle successive consultazioni delle autorità garanti.

Read More

GDPR DAY – Nessuna proroga

GDPR

Nessuno slittamento sull’efficacia, ma ragionevolezza con coloro che dimostrano di aver intrapreso un percorso di adeguamento

Il Regolamento UE 679/2016 sulla protezione dei dati personali è entrato in vigore. E non ci sono proroghe in merito allo slittamento sulla sua efficacia.

Da tal data, con la giusta severità, saranno adottate tutte le misure da parte delle autorità competenti, soprattutto per coloro che non erano in regola con le previgenti disposizioni normative in materia. Ci sarà, invece, ragionevolezza nei confronti di chi dimostra di aver iniziato un percorso di adeguamento ai “requirements” prescritti dal GDPR: per molti, soprattutto per le piccole e medie imprese, il regolamento non dovrà essere visto come una molteplice produzione di attività burocratica, bensì sarà l’occasione per una maggior semplificazione del trattamento dei dati transitanti nello svolgimento dei servizi professionali offerti.

Ciò nonostante, per ciò che concerne lo scenario italiano, sembra che poche imprese siano pronte ad accogliere il GDPR: ciò, con grande probabilità, è dipeso soprattutto dall’instabilità politica che, dal 2016 ad oggi, non ha coadiuvato normativamente il recepimento del Regolamento europeo.  

Si è pensato che il GDPR fosse più una cosa per esperti, non che avrebbe avuto impatti sulla vita di tutti. Ma, a seguito di diversi attacchi cibernetici – ultimo fra tutti il caso di Cambridge analytica – l’opinione pubblica si è mossa ponendo al centro la carenza di tutela dei dati personali, sollevando la questione non solo all’interno delle aziende, enti ed istituzioni, bensì anche nel quotidiano del singolo cittadino: in tal senso si è avvertita l’esigenza di porre maggior attenzione alla questione, comprendendo la reale portata e l’impatto globale del GDPR.

 

La corsa contro il tempo è stata, seppur un po’ tardivamente, avvertita anche dal legislatore nazionale, il quale ha accumulato ritardi nel trasporre le deleghe predisposte all’interno del Regolamento: invero, nonostante in data odierna il GDPR esplicherà i propri effetti, sarà necessaria una seconda tornata normativa, volta a mettere alla prova tutta la disciplina della protezione dei dati vigente, la quale, oltre alle disposizioni del regolamento, riguarda l’aggiornamento di diversi aspetti, quali la sanità elettronica (si ricordi il dossier sanitario del 2005), il giornalismo, le cartelle elettroniche, il cyber bullismo. Questi (e non sono gli unici), infatti, sono ambiti in cui vi è una specifica normativa, la quale va al di là dell’implementazione dell’impianto normativo disposto dal GDPR.

 

Un trend di incertezza generale aleggia e, soprattutto per ciò che concerne le piccole e medie imprese, vi è un po’ di timore relativo alla genericità del nuovo Regolamento. Tuttavia, è importante sottolineare che non ci sono rivoluzioni straordinarie per professionisti e PMI: anzi, si assiste ad una maggior semplificazione del trattamento e gestione dei dati personali.

 

Ciò che di sostanziale è cambiato attiene all’approccio ed alla cultura che sta a fondamento del GDPR: una maggior “consapevolezza” delle proprie strutture aziendali.

Non sarà necessario solo assolvere a degli adempimenti, ma conoscere invece meglio le proprie imprese, per capire i rischi e avere una precisa policy sulla protezione dei dati.

 

Invero, nel caso di una ispezione, non saranno più valutate questioni quali “dove archivi i tuoi dati?” o “cosa ne fai di tali dati?”, bensì l’attenzione sarà posta a verificare e comprendere se le imprese abbiano fatto una riflessione sull’uso dei dati, se abbiano stipulato una policy, se sono consapevoli dei rischi che possono correre, se fanno una adeguata reportistica, investono in questa attività, fanno formazione, si aggiornano.

Non sarà una mera certificazione da operare una tantum all’anno, ma un processo continuo dove l’imprenditore deve essere sempre coinvolto.

 

Anche per tale ragione è stato emanato il GDPR: creare consapevolezza in chi gestisce dati personali e, soprattutto, fiducia nei soggetti interessati a che le informazioni afferenti aspetti più intimi della loro vita siano sempre in buone mani. Ed il legislatore non si ferma qui: infatti il GDPR è solo il primo passo di una rivoluzione normativa in materia, la quale, entro il 2020, comporterà l’elaborazione e l’entrata in vigore del nuovo Regolamento in materia di Privacy. (fonte federprivacy: intervista 20.05.2018 a Giovanni Buttarelli, garante europeo per la protezione dei dati).

 

Stay tuned.

Read More

Italia e Cybercrime, nessuno si senta al riparo: il rapporto Clusit 2018

cybersecurity; studio legale; studiolap; azzolina; poberejskii; menna

Il rapporto Clusit sulla sicurezza informatica presentato pochi giorni fa a Milano rivela come il 2017 sia stato l’anno degli attacchi industrializzati su scala mondiale e della definitiva discesa in campo degli Stati come attori della minaccia.

Stando a quanto rilevato dal rapporto, il cybercrime nel 2017 ha raggiunto livelli inimmaginabili: gli attacchi registrati nel 2017 sono stati 1.127 (+7% rispetto al 2016), con un significativo impatto per le aziende in termini di perdite economiche, danni di reputazione e diffusione di dati sensibili. Di questi, il 21% è stato classificato dagli esperti Clusit di impatto “critico”.

La crescita degli attacchi informatici rispetto al 2011, anno del primo rapporto Clusit, è stata del 240% e quello che emerge dall’analisi dei dati è un vero e proprio “cambiamento di fase” nel livello di cyber-insicurezza globale, con interferenze pesanti tanto nella geopolitica e nella finanza, quanto sui privati cittadini, vittime nel 2017 di crimini estorsivi su larghissima scala.

Nello specifico, il Rapporto Clusit 2018 evidenzia il cybercrime come la prima causa di attacchi gravi a livello mondiale (76% degli attacchi complessivi, in crescita del 14% rispetto al 2016); in netto aumento gli attacchi di “information warfare” (attacchi che mirano alla sottrazione di dati, in aumento del 24%) ed il “cyber espionage“.

Gli attacchi finalizzati allo spionaggio industriale ed al furto della proprietà intellettuale, in crescita del 46%.

A tali cifre si aggiungano anche quelle relative ai costi generati dagli attacchi: globalmente, stando a quanto emerso dai rapporti Clusit condotti dal 2011 ad oggi, globalmente le attività legate al cybercrime hanno toccato 500 miliardi di dollari nel 2017. Solo lo scorso anno quasi un miliardo di persone è stata vittima di truffe, estorsioni, furto di denaro e, soprattutto, furto di dati personali, causando ai soli cittadini privati una perdita di 180 miliardi di dollari.

Inoltre, nel 2017 è mutata la tipologia e la distribuzione delle vittime: i c.d. “Multiple Target” sono i più colpiti, a conferma del fatto che nessuno può ritenersi “al sicuro”.

rapporto clusit 2018

 

Sulla base delle cifre globali, gli esperti Clusit stimano che l’Italia nel 2016 abbia subito danni riconducibili al cybercrime per quasi 10 miliardi di euro, valore 10 volte superiore rispetto a quello degli investimenti in sicurezza informatica che ad oggi sfiorano solo il miliardo di euro.

Ancora troppe aziende corrono ai ripari solo dopo aver subito un attacco, e non è questo l’approccio corretto alla security, che dovrebbe essere interpretata come una prevenzione del rischio, al pari dell’approccio che si ha quando si assicura un’auto”, hanno commentato gli esperti Clusit.

Stando a quanto sopra, sarà fondamentale correre ai ripari mediante un’azione preventiva che possa contrastare, ancor prima del verificarsi, attacchi informatici volti alla perdita di ingenti quantità di dati personali e, conseguentemente, di perdite patrimoniali: l’entrata in vigore del GDPR è imminente e le sanzioni del Regulator europeo sono una spada di Damocle per coloro che si troveranno impreparati.

Read More

Il Data Protection Officer: obbligatorietà, compiti e requisiti

studio legale privacy

A poco meno di 3 mesi dall’entrata in vigore del Regolamento Europeo sulla Privacy (GDPR), ancora molte aziende e pubbliche amministrazioni sono impreparate nell’inquadrare all’interno della propria struttura la figura del Data Protection Officer.

La divisione di Privacy compliance dello Studio legale LA&P aiuta a riepilogare alcuni punti fondamentali inerenti l’obbligatorietà, i compiti ed i requisiti che deve possedere il DPO.

Obbligo di nomina

Secondo quanto disposto dal GDPR il DPO dovrà essere obbligatoriamente nominato da tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L’obbligo, inoltre, riguarderà anche tutti i soggetti (enti e imprese), che trattano dati sensibili su larga scala nello svolgimento delle loro attività, quali dati relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, ovvero che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Gruppi di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che, invece, non rientrano nelle categorie di obbligatorietà, potranno comunque decidere di dotarsi di un DPO: ciò, ovviamente, verrà valutato positivamente dall’Autorità in caso di accertamenti.

Compiti e funzioni del DPO

Compito principale del DPO, in qualità di collettore tra società ed Autorità garante della Privacy, sarà quello di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR e dalle altre disposizioni dell’UE, nonché dalle normative locali degli Stati membri relative alla protezione dei dati e dai provvedimenti dell’Autorità Garante. Dovrà, inoltre, verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Svolgerà altresì attività di pareristica in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Al DPO possono essere conferiti ulteriori compiti e funzioni, salvo che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art. 39 del GDPR.

Requisiti

I titolari del trattamento devono designare come “data protection officer” un professionista che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente (DPO interno), oppure anche sulla base di un contratto di servizi (DPO esterno). E’ richiesto inoltre che il titolare metta a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Si ricordi che, attualmente, non esistono titoli abilitanti o attestati formali che determinano l’idoneità o meno di un DPO. Ciò nonostante, eventuali certificazioni delle competenze professionali rilasciate da enti indipendenti di terza parte costituiscono un valido strumento ai fini della verifica del possesso di un livello di conoscenza della disciplina. Tali certificazioni sono sempre volontarie, e non sono mai obbligatorie per svolgere il ruolo di Data Protection Officer, sia che siano basate su schemi proprietari che su norme tecniche pubbliche.

Read More
Calendar
dicembre: 2018
L M M G V S D
« Giu    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
Social