Il GDPR – General Data Protection Regulation- prevede sanzioni per l’inosservanza da parte delle aziende dei principi base del trattamento dati personali.
Le sanzioni per inosservanza degli obblighi della General Data Protection Regulation (GDPR) possono arrivare fino a 10 milioni di € o fino al 2% del fatturato dell’esercizio precedente. Le sanzioni raddoppiano per inosservanza dei principi di base del trattamento dati.
Se la Carta dei diritti fondamentali dell’Unione Europea stabilisce che ogni persona ha diritto alla protezione dei dati personali che la riguardano e se il legislatore europeo ha deciso di regolamentare il trattamento e la circolazione di tali dati[1], è ragionevole pensare che il tema sia di assoluto rispetto.
La protezione dei dati personali riguarda la libertà individuale nonché la sicurezza delle persone, delle comunità e dei sistemi economici e, solo di riflesso, la privacy ovvero il diritto alla riservatezza nella propria sfera privata.
Il diritto alla tutela dei dati personali, che va contemperato con altri diritti fondamentali (primo fra tutti la trasparenza), ha un significativo impatto sulle aziende in termini organizzativi, informatici e di conformità normativa.
Il punto di vista organizzativo
Il management aziendale, deve valutare diversi tipi di rischi legati all’acquisizione, al trattamento, all’utilizzo e alla perdita di dati con particolare riferimento a quelli sensibili. Questo porta immediatamente a pensare che tutte le aziende che operano nell’e-commerce, o che gestiscono dati sanitari o informazioni patrimoniali, o che trattano dati personali e magari li trasmettono a terzi (a maggior ragione se all’estero) saranno fortemente impattati da questo cambio di paradigma normativo. Ma attenzione, sostanzialmente tutte le aziende trattano dati personali, a partire da quelli dei propri dipendenti.
Un rischio sostanziale per le aziende che recepiscono il GDPR (General Data Protection Regulation) è di concentrarsi sulla fase di raggiungimento del livello di conformità, trascurando l’opportunità di intervenire sui processi aziendali, sulla competenza e la responsabilizzazione delle persone nonché sul rafforzamento dei sistemi.
In altri termini è l’occasione per integrare (o implementare) un sistema atto a gestire tali rischi e mitigare le possibili conseguenze, per esempio attraverso:
- la revisione dei rischi in coerenza con le evoluzioni normative e aziendali;
- la definizione di una catena di responsabilità che tenga in considerazione ruoli aziendali, evoluzioni organizzative e trattamenti di terze parti;
- l’implementazione di processi atti a garantire l’esecuzione dei diritti dell’interessato nonché la segnalazione di violazioni critiche all’Autorità Garante per la protezione dei dati personali e agli interessati stessi;
- la strutturazione dei processi atti ad aumentare la capacità dei sistemi informatici a resistere ad attacchi malevoli e migliorare la continuità operativa;
- la progettazione di sistemi di raccolta e trattamento dei dati, conformi agli stringenti requisiti normativi;
- la formazione e l’informazione continua del personale, bilanciata tra i responsabili (es. titolare, contitolare, responsabile del trattamento) e coloro che utilizzano i dati.
Il punto di vista legale
Il GDPR prevede l’assegnazione di responsabilità a soggetti diversi nonché un sistema sanzionatorio pecuniario e correttivo, cioè un idoneo strumento di ripristino del patrimonio giuridico dell’interessato/danneggiato “Chiunque subisca un danno materiale o immateriale causato da una violazione […] ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ciò porta le aziende a tutelarsi con un sistema formalmente corretto.
Le sanzioni pecuniarie possono arrivare fino a 10 milioni di euro (o fino al 2% del fatturato annuo globale) dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo e fino a 20 milioni di euro (o fino al 4% del fatturato annuo globale), per inosservanza dei principi di base del trattamento, comprese: le condizioni relative al consenso; dei diritti degli interessati; dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri, per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo.
Le sanzioni correttive che prevedono anche l’intervento diretto sui trattamenti, situazione che potrebbe comportare l’interruzione di un servizio verso i clienti, con evidente e immediato danno economico e reputazionale particolare rilevante.
Il punto di vista informatico
L’abolizione delle misure minime di sicurezza, ossia di un set predefinito di contromisure (prevalentemente tecnologiche), finalizzate a contrastare i rischi sui dati personali, può apparire una semplificazione rispetto alla normativa vigente. In realtà è una delle spine nel fianco dei titolari dei trattamenti. Tali misure rappresentano, infatti, una rete di sicurezza che viene meno e aumenta il rischio di sottostimare le minacce e di adottare misure di sicurezza inadeguate.
Le conseguenze di ciò sarebbero dirette e indirette. Ad esempio una mancata o insufficiente implementazione di un efficace sistema antivirus o di back-up sarà direttamente sanzionabile, come abbiamo già visto, dall’Autorità Garante. Ma le conseguenze dirette, seppur rilevanti, potrebbero essere ampiamente superate da quelle indirette, ovvero derivanti da danni reputazionali. Infatti, una rilevante novità contenuta nel GDPR è la cosiddetta data breach notification, ossia l’obbligo, per l’impresa, di autodenunciarsi al Garante (entro 72 ore) in caso di violazione dei dati degli interessati e, in alcuni casi, di segnalare la violazione agli interessati stessi. In altri termini oggi veniamo informati della perdita di dati a distanza di mesi e solo dopo che l’azienda ha posto in atto una serie di contromisure. Domani le aziende dovranno dichiararsi entro tre giorni, con evidenti conseguenze dannose e con il rischio di rendere pubblica la notizia di una rete di sicurezza inadeguata e vulnerabile dalle principali minacce informatiche in circolazione. Attenzione a considerare questo un problema secondario se pensiamo che, secondo i principali produttori di antivirus, i “ransomware” (virus in grado di criptare i dati rendendoli inutilizzabili e che richiedono il pagamento di un riscatto per potervi accedere di nuovo) hanno contagiato il 21% delle imprese nel 2017.
È quindi di tutta evidenza che la normativa sulla protezione dei dati personali richiede quindi un approccio interdisciplinare e l’intervento di persone con preparazione tecnica e professionale di alto livello e differenziata. Un team capace di supportare l’azienda a raggiungere il livello di conformità richiesto entro il 25 maggio prossimo e che progetti e realizzi l’integrazione nel sistema di gestione aziendale dei requisiti organizzativi, legali e informatici richiesti senza appesantire l’operatività aziendale e mitigando i rischi.
Tale intervento non può prescindere dalla conoscenza dell’organizzazione dell’azienda; da una robusta analisi dei rischi; dallo studio di possibili contromisure per mitigare, trasferire, accettare o non esporsi al rischio; dall’assumere decisioni sulle contromisure e sulla loro attuazione; dal formare le persone; dal verificare la bontà degli interventi posti in essere; dall’attuare processi di miglioramento.
[1] [per contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone]