GDPR. Adempimento oneroso o driver di Cultura del Rischio?

11 Maggio 2017 by in Cyber Risk
print
GDPR o 679/2017, la nuova disciplina in materia di protezione dei dati personali sostituirà l’attuale Codice Privacy. In applicazione dal 25 maggio 2018. Spunti di riflessione e programmazione da un meeting per dieci aziende del padovano interessate a comprendere meglio cosa fare nei prossimi mesi. Vieni ai prossimi appuntamenti con Margas

GDPR e Cyber RiskAl tavolo con il GDPR

La chiave di volta del meeting dello scorso 5 maggio è stato il GDPR, materia interdisciplinare che ben si presta alla nostra visione di un mondo di rischi correlati che richiedono una gestione condivisa tra i risk owner aziendali in primis e poi con i partner esterni. In questo caso BCL & Partners e SET Group, rispettivamente uno studio legale e un partner tecnologico del territorio, hanno invitato Margas a tenere il punto di vista alto sul Cyber Risk Management e completare le informazioni con il punto di vista delle soluzioni assicurative, che nel mondo delle imprese pro-attive sono strumento imprescindibile ed efficace.

Manca un anno alla data in cui il nuovo Regolamento Europeo della Privacy, già in vigore, diventi applicabile e da poche settimane sono state pubblicate le linee guida. Anche gli avvocati, che come BCL & Partners si sono attrezzati e hanno acquisito la certificazione di DPO (Data Protection Officer) per poter offrire un servizio alle imprese o a gruppi di imprese, che non sosterranno la nomina interna, mostrano prudenza: ” La materia è complessa, ci sono ancora molti punti soggetti a interpretazioni. Continuiamo ad aggiornarci anche noi” dichiara serenamente l’Avv. Silvia Boschello, associata allo studio. “La strada maestra per adeguarsi alla normativa però è segnata ed è importante che oggi ne prendiamo nota per cominciare ad organizzarci. Perché nessuno può ritenersi non interessato”.

GDPR – Gestione del Rischio

Per esemplificare questa affermazione, così continua l’avvocato Boschello di BCL&Partners: ” E’ necessario approcciare la materia come si è fatto e si fa per la 231/2001. Il GDPR segna infatti un passaggio necessario dalla pura formalità alla sostanza. I Titolari del Trattamento dovranno mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Gdpr.

E’ un vero e proprio Sistema di Gestione fatto di strumenti e processi. Richiede un modello collaborativo tra le diverse funzioni (Organizzative, ICT, Amministrazione, Legale HR e assicurazione). Precise attribuzioni di responsabilità per il trattamento e la protezione del dato. La definizione procedure di progettazione e aggiornamento continuo dei trattamenti secondo il principio della “accoutability.” A monte deve avere una accurata analisi del rischio finalizzata a proteggere il proprio patrimonio informativo  e quindi le pesanti sanzioni imposte dal GDPR.”

Un aspetto sottolineato anche dall’intervento di Andrea Ranzato, Sales Account di Set Group: “Il GDPR richiede alle aziende di poter dimostrare di aver analizzato e quindi mitigato i rischi. Infatti se è vero che il nuovo Regolamento prevede sanzioni pesanti, la loro entità sarà influenzata dai seguenti fattori:

  • L’estensione della violazione dati (e se ho mitigato sarà contenuta)
  • Il livello di conformità che l’azienda ha cercato di raggiungere
  • La capacità di dimostrare gli sforzi fatti per essere compliant, di intercettare le violazioni rapidamente comunicandole all’Autorità e ai clienti (ove previsto) nei tempi stretti richiesti dalla norma.”

Gli interventi dei colleghi permettono a Cesare Burei, contitolare di Margas, di confermare che le novità introdotte dal GDPR non fanno che rafforzare quella che è più in generale una corretta gestione del Rischio Cyber che deve avere l’obiettivo di tutelare il patrimonio aziendale.

GDPR – Le principali novità

“Il sistema di gestione della Privacy è molto più di un adempimento: è un processo aziendale che inciderà sull’organizzazione e sugli investimenti”. Esso impone un “approccio basato sul rischio ponendo con forza l’accento sulla responsabilizzazione dei titolari e responsabili e sulla necessità di fare un’analisi preventiva dei rischi e un impegno applicativo specifico e dimostrabile (Privacy by Design e by Default, Registri del Trattamento)”. E’ molto importante tenere a mente che il suo obiettivo è quello di tutelare la privacy delle persone fisiche.

Chi si vuole preparare deve approfondire con il supporto legale e il coinvolgimento dei responsabili aziendali i seguenti aspetti:

  • Obbligo e necessità di documentare le violazioni – Il Registro
  • Il Diritto all’Oblio
  • Il DPO – Data Protection Officer: controllore e facilitatore
  • La Responsabilità del Titolare del Trattamento Dati
  • La Privacy by Design e by Default
  • La rendicontazione e la PIA (Valutazione d’impatto)
  • Data Breach: Contitolarità e Profilazione
  • Le sanzioni

A questo proposito va ricordato l’entità delle sanzioni: Fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo.

Se violati i principi di base (es. informativa, consenso, i diritti dell’interessato, inosservanza ordine Garante) 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.

GDPR – Cosa fare subito?

Il punto di vista tecnologico

Naturalmente questo vuol dire avere preso contromisure a livello tecnico, organizzativo e della formazione per innalzare i livelli di sicurezza. Per quanto riguarda il primo punto Andrea Ranzato consiglia in particolare di mettere in atto:

Data Discovery

 Data Masking

Crittografia
Molti Data Breach hanno origine da copie o subset di dati aziendali dimenticati. E’ fondamentale riconoscere e gestire le informazioni che necessitano di una corretta Data Privacy. Un corretto sub-setting e Masking dei dati aziendali può mantenere invariata l’integrità delle informazioni e loro coerenza funzionale e statistica, ottimizzando l’intera filiera di gestione in termini di tempi e costi. Le funzioni di crittografia dei dati vengono attivate in meno del 10% delle aziende, ma questa feature può aumentare il livello di sicurezza e compliance dei Dati.

Il punto di vista legale

Dopo aver compresola portata delle principali novità introdotte dal GDPR, bisogna dare priorità alle seguenti azioni:

  1. Redigere un organigramma privacy che definisca incarichi e responsabilità
  2. Formazione generale e degli incaricati
  3. Esaminare e adeguare informative e consensi
  4. Definire le procedure (Privacy by Design) affidandosi ad esperti della materia contenendo i costi
  5. Redigere i registri dei trattamenti
  6. Aggiornare l’ex DPS e rimetterlo in campo alla luce delle nuovo regole come MPDP
  7. Predisporre un piano di sicurezza e comunicazione di data breach
  8. Effettuare se necessario il PIA

L’avvocato consiglia di rivedere inoltre gli aspetti relativi a Privacy e Controlli Datoriali dei dipendenti.
Questi infatti sono misure e strumenti che si mettono in campo per monitorare e migliorare la produttività (videocamere, geolocalizzazione, …). Vanno impiegati senza ledere i diritti dei lavoratori ed evitando sanzioni amministrative e penali .

 

GDPR e Cultura del Rischio by Cesare BureiGDPR, Cyber Risk Management & Cyber Insurance

Noi ci auguriamo che tutti recepiscano questo spirito del GDPR e che la Cultura del Rischio Cyber e la sua gestione diventino obiettivi s t r a t e g i c i.

Ci rendiamo conto che, da broker assicurativi, chiediamo molto al nostro cliente:

  • Conosci e dunque leggi criticamente le tue polizze assicurative
  • Dialoga con tutti i responsabili potenzialmente coinvolti in quel rischio in azienda come in filiera
  • Se hai dubbi chiedi al tuo broker e informalo delle tue decisioni perché esse possono cambiare la tua postura di rischio 

Per capire meglio perché mettere in atto queste attività chiediti sempre “Cosa ho da perdere?

Riguardo ai temi discussi Margas ritiene che le buone polizze siano quelle che si basano sulla risposta consapevole a questa domanda, che permette di individuare

  • gli asset/business chiave della nostra azienda
  • i nostri punti deboli
  • impatto economico-finanziario di eventuali problemi.

In questo modo potremo monitorare, mitigare e quindi correttamente trasferire il rischio residuo alle assicurazioni.

Cosa posso chiedere alle Assicurazioni

In particolare invitiamo le aziende a salvaguardare la business continuity della/e loro attività e la reputazione, la cui costruzione è lunga e faticosa tanto nel mondo analogico, quanto in quello digitale. Rispetto al GDPR vale la pena precisare che

  • normalmente una non conformità alle leggi in vigore non permette di assicurarci;
  • eventuali sanzioni non sono coperte dalle polizze.
  • è possibile richiedere l’inclusione dei Costi di Notifica (al Garante e alle persone) e l’eventuale riconoscimento di indennizzi a coloro che dovessero essere stati riconosciuti lesi.

Per incrementare la Cultura del Rischio e il Cyber Risk Management in azienda stringi la mano a Margas e aderisci a Progetto CyR con l’obiettivo primo di conoscere la tua postura di rischio cyber e privacy.

 

Recommend
  • Facebook
  • Twitter
  • LinkedIN
Share
Tagged in
Margas