Consulenza GDPR e protezione dei dati personali

Ho davvero bisogno di una consulenza GDPR? A chi si applica il GDPR? Quali sono le sanzioni del regolamento europeo privacy? Queste sono le domande più frequenti che ci vengono poste.

GDPR

Entro il 25 maggio 2018 le aziende operanti nell’Unione Europea devono adeguarsi al Regolamento Europeo sulla Privacy, noto anche con l’acronomico RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation) [UE 2016/679].

Inizialmente l’azienda deve proedere con un’analisi preliminari del suo contesto aziendale attraverso la raccolta di tutte le informazioni riguardanti sé stessa, le eventuali società controllate/controllanti o collegate e i fornitori. Soprattutto per i gruppi con più sedi sul territorio europeo, è fondamentale una dettagliata analisi per individuare l’Autorità di Controllo Capofila (Lead Supervisor Authority) e soprattutto per capire se è stato già strutturato un progetto di adeguamento al GDPR.

Altresì importante che l’azienda comprenda l’importanza e il valore dei dati in possesso, sia per ciò che riguarda i dati dei terzi che quelli interni frutto di ricerca e sviluppo. Infatti l’adeguamento al GDPR va visto come un’opportunità per l’azienda: sotto il cappello della tutela dei dati dei terzi e con lo stesso sforzo l’azienda può mettere in atto procedure per proteggere le proprie informazioni strategiche e il proprio know-how (ad esempio, progetti, comunicazioni, informazioni riservate…).

L’approccio basato sul

  • Quanto costa adeguarsi al GDPR? o
  • Quali sanzioni rischio non adeguandomi al GDPR? o
  • Quali sono le sanzioni in caso di data breach?

è senza dubbio scorretto.

La domanda corretta invece è “Come posso trarre vantaggio dall’adeguamento al GDPR?”.

Nella nostra esperienza vediamo spesso aziende vittime di attività illecite dall’interno da parte di dipendenti infedeli o dall’esterno, con conseguente perdita di dati che dal punto di vista pratico comporta perdita di reputazione, di denaro e talvolta la morte dell’azienda stessa. Non è terrorismo ma esperienza reale, molto più di quanto si pensi.

GDPR: a chi si applica

gdpr a chi si applicaPer capire a chi si applica il GDPR, come previsto all’art. 3, occorre conoscere i suoi stabilimenti e la sua organizzazione interna. Il GDPR si applica all’impresa che ricade in uno dei questi due casi:

  • l’impresa ha uno stabilimento nell’Unione Europea, quando il trattamento riguarda l’attività che viene svolta nello stabilimento: non conta la nazionalità dell’interessato del trattamento né che vengano offerti servizi o beni nell’Unione
  • l’impresa ha uno stabilimento fuori dall’Unione Europea ma svolge un’attività o un’offerta di beni e servizi nell’Unione Europea, destinata a soggetti che si trovano, anche in via temporanea, nell’Unione Europea, indipendentemente dalla nazionalità di questi ultimi.

Ai sensi del GDPR per stabilimento si intende anche la presenza di un solo rappresentante nel territorio dell’Unione Europea nonchè lo svolgimento di alcune attività nell’ambito dell’Unione Europea. Non si considera invece stabilimento il sito web accessibile dall’Unione Europea o il cui server è ospitato nel suo territorio, essendo l’ubicazione del server irrilevante ai fini dell’applicazione del Regolamento.

Cosa prevede la consulenza privacy GDPR

La consulenza GDPR prevede l’analisi di:

  • settori di business in cui opera l’azienda
  • paesi in cui operano i vari titolari e responsabili del trattamento e in cui transitano e vengono memorizzati i dati
  • certificazioni in possesso dell’azienda
  • categorie di dati trattati
  • identificazione dei soggetti che trattano dati, siano essi interni all’azienda o fornitori esterni

Obiettivo finale della consulenza GDPR è definire un quadro completo che consenta di mappare:

  • organizzazione e ruoli
  • persone e competenze
  • processi e regole
  • documentazione che abbia impatto sul trattamento dei dati
  • contratti con i fornitori che trattano dati
  • nomine a responsabili e incaricati del trattamento
  • processi e procedure di gestione dei sistemi informativi
  • adozione di tecnologie e strumenti per la gestione della sicurezza informatica
  • sistemi di controllo e di audit
  • procedure in caso di data breach
  • piani di disaster recovery e incident response

L’azienda può scegliere se gestire il progetto di analisi e adeguamento internamente o rivolgersi a consulenti esterni: naturalmente, affidandosi a un consulente esterno specializzato avrà maggiori garanzie sulla bontà ed efficacia del lavoro.

L’importante è fare attenzione a non commettere l’errore di molti di affidarsi solo a giuristi e non a dei tecnici! Si tratta di un lavoro da svolgere in tandem nel quale la componente tecnica è importante tanto quanto quella giuridica, altrimenti l’intera consulenza GDPR rischia di essere realizzata come “consulenza fotocopia” non calata sulla reale esigenza dell’azienda.

Le fasi della consulenza GDPR

Un progetto GDPR si articola in dettaglio in più fasi:

  • Raccolta di documentazione e informazioni sull’organizzazione aziendale e relativa analisi e valutazione
  • Creazione del registro dei trattamenti GDPR per tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili; il documento contiene tra gli altri le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso altri paesi e una descrizione generale delle misure di sicurezza
  • Stesura o modifica della documentazione per renderla completa ed aggiornata secondo le prescrizioni della normativa GDPR
  • Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento
  • Definizione delle politiche di sicurezza e valutazione dei rischi
  • Gestione di Data Breach per assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata documentazione, rilevare le cause e gli effetti della violazione
  • Valutazione d’impatto per assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi
  • Definizione e implementazione dei processi per l’esercizio dei diritti dell’interessato
  • ove previsto, nomina di un Data Protection Officer (DPO), la figura che disponendo di piena autonomia anche di budget è responsabile di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno dell’azienda, segnalando eventuali variazioni

Più sintenticamente la consulenza GDPR prevede tre fasi:

  • Gap analysis
  • Action plan ovvero l’adeguamento sotto i punti di vista giuridico, procedurale, documentale, tecnologico
  • Controlli periodici e manutenzione

gap analysis gdpr

Gap analysis nella consulenza GDPR

La gap analysis permette di rilevare le inadeguatezze rispetto alle prescrizioni del GDPR. Vengono valutati gli aspetti organizzativi e le procedure definite all’interno dell’azienda, analizzando in maniera puntuale ogni requisito della normativa.

Attraverso la consulenza svolta dal proprio team di professionisti specializzati sia in ambito giuridico che tecnico, BIT4LAW è in grado di verificare la conformità rispetto alle norme del GDPR.

BIT4LAW fornisce due livelli di gap analysis:

  • gap analysis base: tramite l’analisi della documentazione e interviste ad alcuni referenti aziendali si valuta il livello di conformità dell’azienda; livello di analisi consigliato per la maggior parte delle aziende
  • gap analysis platinum: oltre alla gap analysis base, si procede ad effettuare delle analisi approfondite dal punto di vista tecnologico, eseguendo analisi forensi di alcune postazioni, monitoraggio del traffico di rete, penetration test e ogni altra attività che si dovesse rendere necessaria; livello di analisi consigliato per le aziende che hanno obbligo di nomina del DPO e per aziende che, pur non avendo obbligo di DPO, intendono effettuare un audit avanzato della propria infrastruttura tecnologica

Al termine della gap analysis sarà possibile capire:

  • dove occorre intervenire
  • la priorità di intervento
  • definire un programma di messa a norma

Action plan nella consulenza GDPR

Sulla base di quanto emerso dalla gap analysis, la parte del team specializzata sull’aspetto elgale provvede a mettere a norma l’organizzazione sulla base del programma di messa a norma definito e concordato con l’azienda.

Il team legal si occuperà di:

  • definire un piano di rientro
  • ridefinire gli aspetti organizzativi attraverso una revisione, ottimizzazione e implementazione delle opportune procedure
  • predisporre le informative e le nomine
  • valutare i contratti con clienti e fornitori nelle parti in cui si prevede il trattamento di dati personali e sensibili

Parallelamente all’adeguamento normativo, il team tecnologico assiste l’azienda nell’individuazione delle soluzioni tecnologiche da implementare, eventualmente redigendo le specifiche, svolgendo il ruolo di selezione dei fornitori e procedendo al collaudo.

Più nel dettaglio l’attività consiste in:

  • definizione, formalizzazione e implementazione della struttura organizzativa della data protection
  • formazione dei soggetti chiamati a ricoprire un ruolo attivo nella data protection
  • sensibilizzazione del personale aziendale non direttamente coinvolto nella protezione dei dati personali
  • definizione e implementazione di processi e regole connessi alla protezione dei dati personali
  • stesura della documentazione (o modifica, se esistente) relativa a nomine, informative, moduli di consenso, clausole contrattuali
  • adozione del registro dei trattamenti di dati personali
  • previsione di un sistema di controlli interni e di controlli periodici di adeguatezza

Controlli periodici GDPR

Il processo di adeguamento GDPR non avviene una tantum ma è un processo iterativo: una volta regolarizzata la posizione dell’azienda rispetto alle prescrizioni del GDPR, occorre effettuare delle analisi periodiche analoghe a quelle indicate in gap analysis che, sulla base dell’evoluzione tecnologica, normativa e propria dell’azienda vada ad apportare – ove necessario – modifiche nei processi, nei documenti e nell’infrastruttura tecnologica.

Tra le attività consigliate si suggerisce l’analisi forense a campione di sistemi informatici al fine di verificare il corretto uso degli strumenti aziendali all’interno dell’azienda.

Sanzioni GDPR

sanzioni gdprLe sanzioni del GDPR seguono un approccio graduale: la violazione delle disposizioni e l’inosservanza di un ordine da parte dell’autorità di controllo possono prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.

Inoltre l’articolo 58 fornisce alle autorità di controllo la possibilità di avvalersi di alcuni poteri correttivi tra cui la limitazione o il divieto di trattamento dei dati.