Gdpr - servizi esternalizzati in cloud

GDPR alcune considerazioni

Da un pò di tempo sto seguendo le indicazioni del nuovo regolamento europeo in materia di protezione dei dati personali, che per certi aspetti si può considerare come un’evoluzione del decreto legislativo n.196 del 2003.

Nell’ambito di alcune analisi che sto conducendo su alcuni software che dovranno essere adeguati alla nuova normativa (soprattutto per quando riguarda la memorizzazione dei dati nello storage e la loro persistenza) ho pensato di fissare i punti più salienti definiti dall’Unione Europea.

In questo articolo vengono descritti gli elementi più importanti, facendo riferimento al testo della normativa, senza avere la pretesa di trattarli in maniera esaustiva: per questo sarebbe necessario l’intervento di qualche legale esperto in maniera. Sono pur sempre un dev.

Il nuovo Regolamento Europeo

Il nuovo Regolamento Europeo in materia di trattamento dei dati personali n. 2016/679, viene spesso indicato come GDPR.

La nuova normativa entrata in vigore a partire dal 24 maggio 2016 dovrà essere resa operativa dagli stati membri dell’unione europea a partire dal  25 maggio 2018.

L’applicazione del regolamento non prevede esclusioni sulla base delle dimensioni delle aziende e sulla loro “anzianità”. Ciò comporta la necessità di adeguamento anche per le startup di nuova costituzione.

Punti fondamentali

I punti su cui porre particolare attenzione sono :

  • il registro del trattamentodi fatto un censimento dettagliato e completo delle operazioni di trattamento dati predisposte all’interno dell’azienda. La normativa prevede all’articolo 30 c.o. 5 che siano esonerate le aziende con un numero di dipendenti inferiore a 250, salvo che “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10″ . In particolare l’articolo 9 definisce particolari categorie di trattamento dati, mentre l’articolo 10 coinvolge i dati personali legati a condanne e/o reati penali;

 

  • data protection officerrappresenta forse l’elemento più controverso della normativa in quanto l’articolo 37 del Regolamento europeo non descrive in maniera dettagliata quali debbano essere le caratteristiche professionali che il soggetto prescelto debba avere. La nomina di questa figuara è obbligatorio all’interno della pubblica amministrazione, quando il trattamento dei dati richieda monitoraggio continuo di interessati su larga scala o quando le attitivà principali consistono nel trattamento su larga scala di categorie particolari di dati relativi a reati e/o condanne penali;

 

  • principio di accountabilityil titolare del trattamento deve essere in grado di dimostrare di aver messo in atto misure adeguate per il trattamento dei dati e dimostrare il grado di conformità delle stesse attività, compresa l’efficacia delle misure adottate. Rappresenta, di fatto, una modifica sostanziale dell’attuale codice della privacy che non prevede una vera e propria responsabilizzazione del responsabile del trattamento. L’attuale modello prevede la predisposizione di una check-list di adempimenti minimi a cui l’organizzazione aziendale deve sottostare: il più delle volte ciò si è dimostrato inadeguato perchè non corrispondente con la realtà aziendale a cui è applicata. Il principio di accountability può essere sinonimo di obbligo di responsabilizzazione e rendicontazione nell’ambito trattamento dei dati;

 

  • politiche di sicurezza contiene l’analisi  delle misure tecniche che sono state messe in atto, in ottemperanza dell’obbligo di essere in grado di dimostrare che il trattamento è conforme al principio di accountability. Non vi è alcuna correlazione con le attuali misure minime di sicurezza (il disciplinare tecnico) ma dovranno essere delle misure adeguate e specifiche per il trattamento in atto;

 

  • data breach: sono le violazioni che si sono verificate sui dati. Devono essere predisposte misure per poter impedire violazioni, e nel caso si fossero verificate devono essere definite opportune procedure per comunicare entro e non oltre le 72 ore. Risulta evidente come il Titolare del trattamento debba definire opportuni sistemi di reportistica che consentano di individure gli accessi non desiderati, di tracciarne la modalità (per quanto possa essere possibile) e opportuni sistemi per poter individuare, circoscrivere e risolvere le “falle” nei sistemi;

 

  • valutazione dell’impatto sulla protezione dei dati personali: secondo le indicazioni fornite all’interno del regolamento relativamente agli impatti di specifiche tipologie di dato, ma dovranno essere comunque analizzati anche eventuali trattamenti considirati “a rischio”. Sarà onore del Titolare del Trattamento definire l’impatto del rischio sul trattamento dei dati personali anche alla luce di indicazioni di ordine pratico, definiti sulle tipologie di dato anche in virtù dei singoli  paesi dell’Unione Europea.

 

Pubblicato da

Andrea Merlin

Laureato in informatica, diversi corsi di specializzazione legati allo Sviluppo Software e alla Computer forensics. Appassionato di nuove tecnologie, amo la programmazione, la Business Intelligence e tematiche legate alla Privacy.Sempre alla ricerca di nuove idee, stimoli … e progetti da seguire!Amo trascorrere il tempo libero in Val Borbera, un piccolo angolo del Piemonte, in provincia di Alessandria.

Un commento su “GDPR alcune considerazioni”

I commenti sono chiusi.