GDPR

GDPR

05 sett 2018

News

Come ogni azienda interessata alla Sicurezza Informatica stiamo seguendo l'iter del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR) che è diventato pienamente operativo lo scorso 25 maggio 2018.

Con la promulgazione del Decreto Legge di adeguamento del “Codice Privacy”  (L. 196/03) il quadro normativo nazionale è finalmente completo e soprattutto per le micro, piccole e medie imprese è possibile adeguarsi sfruttando le semplificazioni introdotte dalla sua nuova versione.

Siamo giunti a (2 anni e …) 5 mesi dall’entrata in vigore del GDPR ed è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto Legge di adeguamento del Codice Privacy (L. 196/03) al Regolamento Europeo n° 679/2016 (GDPR).

La data del 25 maggio NON era l’entrata in vigore del Regolamento Europeo noto come GDPR, che era già in vigore da 2 anni, ma solo l’effettività delle sue onerosissime sanzioni ( 2 o 4 % del fatturato e comunque fino a 20 milioni di €),

Il clamore che si è percepito fino a prima delle ferie estive si è rivelato poco giustificato, anche perché il Garante si è preoccupato di assicurare un ulteriore periodo “di grazia” (non significa che non possa già erogare le tanto temute sanzioni amministrative ma solo che osserverà in modo differente alcune categorie di soggetti) prima di cominciare a comminare le sanzioni, attenzione però che i controlli sono già cominciati.

È stato finalmente pubblicato in Gazzetta Ufficiale il Decreto Legge che adegua la Legge n° 196 del 2003, il cosiddetto “Codice Privacy” italiano, e sarà definitivamente applicabile a partire dal 19 settembre.

Il GDPR, in quanto Regolamento Europeo è self executing, cioè immediatamente applicabile nel nostro ordinamento come in  tutto il territorio dell’Unione Europea, (Italia compresa; Regno Unito non più, cominciamo a considerarlo EXTRA EU! E’ il GDPR stesso che prescrive comportamenti conservativi).

Da questa situazione ne esce un quadro tutt’oggi difficilmente comprensibile per alcuni motivi:

  • L’ormai prescritta versione della L. n° 196/03 è stata scritta in modo da fornire indicazioni pratiche di applicazione, soprattutto nei suoi allegati, che era possibile utilizzare come scalette operative di applicazione e verifica, utilizzabili in diversi campi come l’autenticazione nei sistemi informativi, le misure minime di sicurezza, il trattamenti in ambito giudiziario e per fini di sicurezza, …
  • Il GDPR è scritto invece in modo da non fornire linee guida, uno dei suoi principi fondanti è l’ACCOUNTABILITY, ovvero la responsabilizzazione del Titolare del trattamento (infatti quei trattamenti che potevano essere fatti solo su apposita autorizzazione del Garante oggi possono essere fatti indiscriminatamente dal titolare – sotto la propria responsabilità  – in quanto non esiste più il concetto di autorizzazione, che implicherebbe uno sgravio di responsabilità per il titolare);
  • Gli ambiti di applicazione non sono uguali, la versione fino a ieri in vigore del 196 per molti aspetti era di più ampio respiro, infatti in un contesto di ritardi e cambi di governo (tardi per tardi … ) è stato opportuno attendere anche la promulgazione di altre decisioni (a livello europeo, che però non hanno la valenza di un Regolamento – quindi Legge su tutto il territorio Europeo – ma solo quella di Direttiva – che quindi necessitano del recepimento in norme nazionali per il loro adeguamento);

 

Il Decreto Legge di fresca promulgazione in Gazzetta Ufficiale non è di immediata comprensione, perché frutto di un’abrogazione parziale ma molto ampia della L. n°196/03, che ne risulta quindi completamente stravolta; a nostro avviso però si tratta di una normativa all’avanguardia rispetto a molti altri contesti Europei.

Il Decreto Legge ha avuto un lungo periodo di gestazione, il governo appena insediato ha nettamente cambiato modus operandi rispetto al precedente, coinvolgendo nella stesura una pletora di soggetti quali ad esempio le associazioni di categoria e gli Ordini professionali; ne sono uscite due diverse anteprime, entrambe frutto di ampissime rivisitazioni del testo della 196/03, l’opzione di abrogare completamente la L.196/03 si sarebbe rivelata quella di più facile lettura ma non è stata possibile a causa dell’oggetto della Delega ricevuta dal Governo, lascio queste riflessioni però ai giuristi, ai quali spetta il lavoro di interpretazione del nuovo testo, che non si preannuncia facile visto quanto cambia solo nel nome, che a “Codice in materia di protezione dei dati personali” vede aggiungere “, recante disposizioni  per   l'adeguamento   dell'ordinamento   nazionale   al regolamento (UE) n. 2016/679 del Parlamento europeo e del  Consiglio, del 27 aprile 2016, relativo alla protezione  delle  persone  fisiche con riguardo al trattamento dei dati personali, nonché' alla  libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.

Per noi che siamo invece chiamati a mettere in pratica la normativa europea e quella nazionale è finalmente il momento per poter lavorare in un contesto ben definito, sfruttando quelle semplificazioni introdotte dal nuovo Decreto Legge per quei soggetti quali la micro, piccola e media impresa che fino ad oggi pensava che il GDPR fosse rivolto solo alle Big Media Company come Google, Amazon e Facebook oppure alle Banche.

 

Quello che è stato fatto in passato è ancora valido?

Cosa devo effettivamente fare per rispettare la normativa?

Il Decreto di fresca promulgazione prevede delle procedure semplificate per le micro, piccole e medie aziende?

In linea di massima dei documenti che abbiamo usato a riferimento fino a ieri, come l’Allegato B del Codice Privacy ante GDPR (è utile cominciare fin d’ora a fare riferimento alla L.196/03 ante o post adeguamento al GDPR), cambiano solo le modalità di utilizzo ma non la sostanza degli adempimenti che vi vengono descritti; ad esempio le norme minime di sicurezza non servono più a garantire la non perseguibilità penale del titolare ma contengono una serie di prescrizioni che certamente rispondono al requisito di “adeguatezza” descritto nel GDPR; in proposito è opportuno fare presente che la scelta di non fornire scalette è dettata dalla constatazione del legislatore europeo di non essere in grado di adeguarsi sufficientemente in fretta alle tecnologie che si propone di regolamentare.

Come già accennato il GDPR è una norma sostanzialmente diversa rispetto a quella italiana, l’approccio di chi si propone di spuntare una check list è perdente, la ratio del GDPR vuole che il titolare si chieda se l’attenzione nei confronti delle informazioni che tratta è adeguata rispetto alla loro rilevanza.

In questo contesto è perdente tentare di improvvisarsi professionisti, nei sistemi informativi ci scontriamo prestissimo con dinamiche che riguardano macrosistemi che ci è “solo dato di guardare da lontano”; per esempio, qualcuno che utilizza servizi in CLOUD (non criptati alla fonte) è per caso riuscito a contrattare una eventuale nomina a Responsabile del Trattamento del provider di servizi?

Oppure ancora, anche se normalmente una DPIA (Data Protection Impact Analisys) contiene delle informazioni coperte da proprietà intellettuale, qualche micro, piccola o media impresa è riuscita ad inserire agli atti una versione pubblica della DPIA del software gestionale che amministra la nostra seppur piccola ma tanto preziosa organizzazione?

DigiUNIT è specializzata, certificata e partner nelle soluzioni che propone ai suoi clienti: Microsoft, WatchGuard e Syneto sono solo alcune delle piattaforme software che installiamo ed amministriamo, ma ci occupiamo anche della progettazione di software gestionali dedicati. Gli ambiti che coprono le nostre proposte possono essere impiegati utilmente per rispondere alle esigenze che l’applicazione del GDPR può richiedere nei contesti più diversi, dalla micro impresa alle medio grande azienda.

Contattaci se sei interessato ad ottenere maggiori informazioni

Invia