18/05/2018 SPECIALE REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI/TERZA PARTE
Responsabilità del titolare del trattamento, protezione dei dati by default e by design: sono gli argomenti approfonditi nella terza parte dello speciale, realizzato dalla società di brokeraggio Golinucci, sul Regolamento europeo Gdpr, e le novità per gli intermediari assicurativi. La prima news è visibile a questo link, www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-dati, la seconda a
www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiseconda-parte
L’accountability. Indica l’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare la applicazione del regolamento ((Articolo 24 Gdpr), attraverso specifici criteri:
1) Data protection by default e by design;
2) Rischio inerente al trattamento (risk assessment).
Si tratta di un principio di responsabilità particolarmente gravosa per il Titolare del trattamento perché deve dimostrare in modo sostanziale, secondo il grado tecnologico e organizzativo del momento, di aver adottato tutte le procedure adeguate e idonee a evitare la perdita di dati. Fra le misure dobbiamo anche comprendere una verifica dell'efficacia delle misure.
Il regolamento introduce obblighi per i Responsabili del trattamento. I Responsabili del trattamento sono fornitori di servizi che elaborano dati personali per conto di Titolari del trattamento, ma non determinano lo scopo o i mezzi del trattamento, come consulenti, commercialisti, server providers. Quando un Titolare utilizza un Responsabile per l'elaborazione dei dati personali, quest’ultimo deve essere in grado di fornire "garanzie sufficienti per attuare adeguate misure tecniche e organizzative" per garantire la conformità al Gdpr e che i dati dei soggetti sono protetti (Articolo 28). Le disposizioni contrattuali dovranno essere scritte e dovranno definire le responsabilità di ciasuna parte.
Privacy by default e by design. (Articolo 25 e Considerando 78 Gdpr) Il principio di protezione dei dati per impostazione predefinita (by default) stabilisce che le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. Il principio della protezione dei dati sin dalla progettazione (by design) prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e allo smaltimento finale. Va altresì inclusa la responsabilità per i prodotti e i servizi utilizzati dal Titolare o dal Responsabile del trattamento.
Sicurezza nel trattamento (Articolo 32 e Considerando 83 Gdpr). Il Titolare e il Responsabile del trattamento devono adottare misure di sicurezza idonee per la difesa dei dati personali. Le misure di sicurezza comprendono, tra le altre:
1) la pseudonimizzazione e la crittografia dei dati personali;
2) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso d’incidente fisico o tecnico;
4) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (valutazione dei rischi).
E’ importante perciò un “risk assessment” (valutazione del rischio), perché le misure tecniche e organizzative idonee per la difesa dei dati personali devono essere valutate azienda per azienda.
Bisogna ricordare che le 27 “misure minime di sicurezza” presenti nel Codice privacy 196/2003 (di cui 3 relative agli archivi cartacei e 24 a quelli digitali) vengono sostituite dalle “adeguate misure tecniche e organizzative”, idonee per la sicurezza dei dati.
Per il principio dell’accountability, è necessario documentare l’esistenza di queste misure di sicurezza. Per esempio, se si è vittima di un’estorsione informatica con richiesta di riscatto (in bitcoin) non è sufficiente esibire la richiesta di riscatto da parte degli hacker. Bisogna, infatti, dotarsi di una serie di strumenti informatici da valutare caso per caso, come il monitoraggio degli accessi indesiderati, la crittografia dei dati, la protezione della rete informatica.
Obbligo di notifica di Data breach. Per Data breach s’intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali conservati o comunque trattati.
Il Titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio. Quando la violazione presenta un elevato rischio per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica senza ritardo la violazione all'interessato. La comunicazione all'interessato descrive con un linguaggio semplice e chiaro:
1) la natura della violazione dei dati personali violati;
2) nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere più informazioni;
3) probabili conseguenze della violazione dei dati personali;
4) le misure adottate o di cui si propone l'adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Dpo (Data protection officer). Una nuova figura introdotta dal Regolamento è il Dpo, o Responsabile per la protezione dei dati. Il Dpo è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, risk management e analisi dei processi. La sua responsabilità principale sarà quella di osservare, valutare, vigilare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative. La figura del Dpo è obbligatoria quando il trattamento:
1) è effettuato da organismi o autorità pubbliche;
2) richiede il monitoraggio regolare e sistematico degli interessati su larga scala;
3) consiste in dati particolari (sanitari, penali o biometrici) su larga scala.
La figura del Dpo è comunque consigliata per le sue attività di monitoraggio delle misure di sicurezza, formazione del personale, della valutazione dei rischi ecc..
Per gli intermediari assicurativi la nomina del Dpo come ruolo obbligatorio dipende dalla tipologia dei dati trattati e dalla dimensione della struttura.