Benvenuto in Assosvezia – la Camera di Commercio Italo-Svedese

Privacy & Cybersecurity

seminario eventi camera di commercio italo svedese assosvezia privacy cybersecurity crowe horwath 5 luglio 2017

Milano, 5 luglio 2017 – Il tema della privacy & cybersecurity è più che mai attuale, in parte per via dei veloci e incessanti avanzamenti tecnologici, ma anche a causa degli attacchi ad opera di anonimi hacker che negli ultimi anni sono diventati sempre più frequenti. La questione è già complessa per gli addetti ai lavori e ancor di più lo diventa per i profani, ma ciò non significa che si possa disinteressarsene. Come se non bastasse, la materia sta mutando anche dal punto di vista legislativo grazie all’introduzione di un nuovo Regolamento Europeo. Dunque, per far chiarezza sullo stato dell’arte e su ciò che sarà necessario che le aziende facciano per mettersi in regola, il nostro associato Crowe Horwath ha deciso di intervenire e fare chiarezza. Crowe Horwath è un network molto esteso, nato poco più di un secolo fa e attualmente operativo in oltre 130 Paesi. Crowe Horwath si occupa di revisione e supporto alle aziende in 4 macroaree: Audit, Tax, Advisory e Risk. In Italia, la multinazionale è presente in 5 città a cui si aggiungono altri due desk dislocati sul territorio.

Tra le attività di consulenza e supporto alle aziende offerte da Crowe Horwath c’è anche quella legata all’analisi dei rischi legati al mondo IT, alla sua sicurezza e alle normative che la regolano. Introdotto da Giovanni Santoro, Executive Chairman di Crowe Horwath AS (Italia), che ha dato il benvenuto ai partecipanti, l’argomento è stato subito affrontato da Sandro Iannucci, Head IT & Quality Advisory Privacy Department Associate, esperto in materia e relatore del seminario. La privacy è una materia ampia e in costante evoluzione per quanto riguarda normative e doveri a cui le aziende devono adattarsi. Quando la privacy incontra il tema della sicurezza sul web – o cybersecurity – la quesitone si fa ancora più rilevante e si estende oltre i confini circoscritti dell’azienda, andando a declinarsi in trattamento, protezione e gestione dei dati presenti sulle reti.

Il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento Europeo in materia di protezione dei dati personali e la Direttiva che regola i trattamenti di tali dati per quanto riguarda prevenzione, contrasto e repressione dei crimini ad essi collegati. Da quel giorno, gli Stati membri della UE hanno tempo due anni per recepire le nuove disposizioni della Direttiva nel loro diritto nazionale. Il Regolamento Europeo, invece, entrerà in vigore dal 25 maggio 2018, diventando definitivamente applicabile in via diretta in tutti i Paesi UE, i quali dovranno essere in grado di garantire l’allineamento delle proprie norme alla regola europea. Il nuovo Regolamento Europeo si applica anche alle imprese situate al di fuori dell’Unione Europea che offrano servizi o prodotti a persone che si trovano all’interno del territorio dell’UE. Tra i benefici maggiori dell’introduzione di un unico insieme di norme valido per tutti gli Stati della UE ci sarà innanzitutto la protezione dei dati delle persone fisiche e la semplificazione del quadro giuridico per le imprese che operano e commerciano in vari Stati. Contrasto alla criminalità e scambio di informazioni e collaborazione tra le autorità andranno a completare il pacchetto delle novità introdotto dalla nuova normativa.

seminario eventi camera di commercio italo svedese assosvezia privacy cybersecurity crowe horwath 5 luglio 2017

Quali saranno le principali novità introdotte dal Regolamento Europeo?

  • Informativa: regole più chiare, limiti al trattamento automatizzato dei dati personali e criteri rigorosi per il loro trasferimento al di fuori dell’UE. I diritti degli interessati saranno così rafforzati e il mercato unico europeo potenziato garantendo l’applicazione rigorosa in ogni Stato membro. L’Italia è stato il primo Paese della EU a riconoscere e a regolare il diritto alla riservatezza tramite il d.lgs 196/03 e il nuovo regolamento Europeo è in questo molto simile. Lo Sportello di riferimento sarà il Garante per la Privacy italiano, già esistente e ampiamente operativo. Qualora quest’ultimo non sia in grado di dare una risposta esaustiva agli eventuali quesiti e problematiche che si presenteranno, il Garante italiano dovrà far riferimento a quello europeo: in questo modo non sarà più possibile avere applicazioni e interpretazioni per un singolo Paese ma ne avremo una sola valida per tutti i componenti della UE;
  • Consenso: il consenso al trattamento dei dati continuerà ad essere preventivo e inequivocabile, ma dovrà anche essere esplicito e revocabile in ogni momento. No a forme di consenso tacito come il silenzio-assenso;
  • Decisioni ed effetti giuridici: le decisioni che portano a effetti giuridici non potranno essere basate sul trattamento automatizzato dei dati (es. profilazione);
  • Diritto all’oblio: sarà possibile ottenere la cancellazione dei propri dati personali anche online da parte del titolare del trattamento. Quest’ultimo avrà l’obbligo di inoltrare la richiesta a chiunque stia trattando tali dati. È una novità importante, ma rimarrà complicata la sua applicazione concreta data la natura delle reti e della tecnologia. Sebbene le reti internet siano ancora degli ambienti un po’ selvaggi, è importante che il diritto all’oblio sia stato formalmente riconosciuto;
  • Trasferimento dei dati personali: vietato il trasferimento dei dati personali verso Paesi situati al di fuori della UE o a organizzazioni internazionali che non raggiungano lo standard di adeguatezza richiesto dal Regolamento. Esiste già questo tipo di divieto, ma i criteri alla base degli standard di adeguatezza di fanno più rigidi;
  • Data breach: entro 72 ore dall’accaduto, il titolare del trattamento dei dati avrà l’obbligo di comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione rappresenta una minaccia, il titolare dovrà informare anche le persone interessate. Qualora il titolare non si attivi a dar seguito ai propri obblighi di comunicazione potrebbe incorrere in sanzioni molto pesanti, ben più alte di quelle disposte fino ad ora. Dunque il titolare sarà tenuto a dotarsi di strumenti e applicativi informativi in grado di gestire al meglio il rischio residuo, precedentemente mappato e valutato tramite il Data Protection Impact Analysis (DPIA). Privacy by design sarà la nuova parola d’ordine: ideazione, strutturazione e implementazione di nuovi processi adatti a gestire e proteggere i dati fin dal momento della loro acquisizione. La Privacy by design andrà dimostrata e certificata tramite la documentazione di tutto l’iter a cui i dati sono sottoposti. La Privacy by default, invece, prevede che, sempre tramite l’apposita documentazione, si dimostri che vengono trattati solamente i dati necessari e niente di più;
  • Portabilità: viene introdotto il diritto alla portabilità, ovvero la possibilità di trasferire i propri dati personali da un titolare del trattamento ad un altro. Come già accade con il numero di telefono mobile, diverrà possibile trasferire la propria casella di posta elettronica presso un differente provider senza che contatti e messaggi vengano persi.

Oltre alle novità più eclatanti appena elencate, sono in arrivo anche delle nuove figure professionali che sostituiranno alcune di quelle attuali e che saranno in ogni caso dotate di maggiori responsabilità:

  • Data Protection Officer – DPO: sarà d’obbligo nominare questa figura all’interno delle organizzazioni pubbliche e fortemente consigliato per quelle private. Il compito del DPO sarà di essere l’unico referente e responsabile per la protezione dei dati, chiamato a interfacciarsi con gli organismi esterni in ambito di privacy. Una figura “cuscinetto” con i controlli esterni, dalla comprovata e certificata competenza DPO e che nei due anni di tempo a disposizione prima dell’entrata in vigore definitiva del Regolamento si dedicherà a pieno regime a far sì che l’organizzazione si metta in regola;
  • Data Controller: il vecchio Titolare del trattamento dei dati previsto dal d.lgs 196/03;
  • Data Processor: il vecchio Responsabile del trattamento dei dati previsto dal d.lgs 196/03;
  • Joint Controller: il Contitolare del trattamento dei dati previsto dal d.lgs 196/03 e figura focalizzata sulle procedure scritte ad hoc per dimostrare che l’azienda si è opportunamente strutturata per venire incontro alle nuove richieste.

seminario eventi camera di commercio italo svedese assosvezia privacy cybersecurity crowe horwath 5 luglio 2017

Cosa dovranno fare le aziende per arrivare in regola alla fatidica data del 25 maggio 2018?

  • Nominare un DPO;
  • Notificare obbligatoriamente gli eventuali data breach;
  • Condurre un’approfondita analisi dei rischi in base agli standard internazionali (es. ISO 31000);
  • Produrre la documentazione richiesta per quanto riguarda privacy by design, diritto all’oblio e portabilità;
  • Introdurre un registro degli archivi informativi dove riportare le modalità di tracciatura dei dati e i sistemi di conservazione e cancellazione;
  • Formare i dipendenti sul nuovo Regolamento Europeo.

Questo è quanto riguarda le aziende, ciò che sono chiamate a fare e a tener da conto da qui a metà 2018; ma fuori dai loro confini e dalle Istituzioni, cosa c’è? Il web è pieno di minacce e rischi e le organizzazioni sono spesso troppo vulnerabili di fronte a un mare di incognite digitali in cui quotidianamente navigano e fanno business. A dirla tutta, i potenziali attacchi non arrivano solo dall’esterno, ma possono nascere anche all’interno delle imprese. Dunque la protezione da mettere in campo è a 360°: è importante che le aziende predispongano un ambiente ben disegnato in cui sia possibile limitare l’impatto delle eventuali minacce. La sicurezza informatica va pensata e preparata a priori proteggendo gli accessi a software e hardware. Gli attacchi informatici possono essere di vario genere e spesso alcuni di essi non sono altro che un diversivo per distrarre e allontanare l’attenzione dal vero obiettivo, ovvero il furto di dati da rivendere o utilizzare. Per ridurre al minimo i rischi è importante che aziende e pubblica amministrazione compiano con regolarità una serie di controlli sul proprio sistema che permettono di evitare d’esser vittime di furti o anche solo di essere investite dal fumo alzato per nasconderli. I controlli e le protezioni sono un costo non indifferente per le organizzazioni, ma il prezzo da pagare a posteriori, una volta colpiti, è ancora più alto.

Ringraziamo l’associato Crowe Horwath, Giovanni Santoro e Sandro Iannucci per l’interessante e utilissimo approfondimento che hanno offerto al network di Assosvezia.

www.assosvezia.it | testo di Viola Albertini