GDPR – Nuovi adempimenti (anche per le imprese di costruzioni)

21 Dicembre 2017

GDPR – Cosa c’è da sapere

Vista la crescita esponenziale dei dati digitali la Comunità Europea ha approvato il regolamento GDPR– General Data Protection Regulation per uniformare la gestione a livello europeo.

Il quadro normativo di riferimento è il seguente:

M 163/2013 – (http://www.gazzettaufficiale.it/eli/id/2014/02/14/14G00018/sg) e successive modifiche.
Regolamento UE 2016/679 (http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2016-05-16/la-privacy-europea-regolamento-ue-2016679-125453.php).
Linee guida del Gruppo dei Garanti europei – WP29 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5792160)

L’autorità di riferimento è il Garante per la protezione dei dati personali (http://www.garanteprivacy.it/web/guest/home)

Chi è interessato al GDPR?: In pratica tutti coloro che hanno un business e quindi anche tutte le imprese di costruzioni.
Cosa c’è da fare?: Analizzare i trattamenti e ridurre, mitigare i rischi che attengono alla gestione dei dati.
Come si può fare?: Applicando gli strumenti previsti dalla normativa e attraverso un’analisi oggettiva dei propri Sistemi Informatici.

Analisi dell’infrastruttura tecnologica

La prima cosa da fare è la verifica della vulnerabilità, intesa come capacità di difesa da attacchi esterni o perdita di dati digitali (oltre che cartacei) che nel concreto si traduce nelle seguenti best practise:

Penetration test: Attività che consiste in un processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un utente malintenzionato attraverso l’utilizzo di specifici software (es. Wireshark, Nessus, NMap, ecc.).
Fi.: Attenzione alle connessioni wireless, ad esempio è buona norma tenere separata la rete Guest da quella interna e verificare che dall’esterno del perimetro aziendale questa non sia raggiungibile.
Thetering: Sensibilizzare le persone a non utilizzare il proprio smartphone quale hotspot per la connessione internet di un device interno collegato alla rete aziendale.
Antivirus: verificare l’aggiornamento e l’efficacia del proprio sistema antivirus.
Accessibilità: inibire l’accesso ai server aziendali ai non addetti ai lavori.
Permission: verificare le politiche di accesso alla rete aziendale e relative credenziali (pswd).

Privacy by Design, l’essenza della nuova normativa GDPR

In pratica si passa dal rispetto delle misure “minime” alle misure “adeguate” delle quali il titolare sarà chiamato a dimostrare (come adeguatezza) in caso di verifica da parte del Garante.

Si parla quindi di garanzia di Privacy by design e by default, ovvero di integrazione delle tematiche della privacy sin dalla progettazione del trattamento del dato per acquisire solo quelli necessari al trattamento stesso.

Ma quali sono le novità del GDPR?

DPIA (acronimo di Data Protection Impact Assesment) è l’attività, sopra esemplificata, di analisi che si concretizza in un documento programmatico di rappresentazione dello stato di fatto e del progetto di adeguamento.
Registro dei trattamenti: che è da aggiornare nel tempo.
Diritto all’oblio e conseguente verifica dei tempi e dei modi di cancellazione del dato.
Portabilità del dato verso l’interessato o da terzi da questi designati.
Gestione delle violazioni: descrizioni delle procedure da porre in atto in caso di attacco di tipo ramsomware, virus, perdita di telefono cellulare, pc portatile aziendale, documenti cartacei, ecc…).

Quali sono gli attori?

Titolare dei dati (che ovviamente risponde in prima persona)
Responsabile del trattamento (inteso come colui che riceve la nomina formalizzata)
Incaricato del trattamento (inteso come chi effettivamente tratta i dati)
Interessato (proprietario del dato)
DPO (acronimo di Data Protection Officer), nuova figura, che supporta e coordina gli attori coinvolti, sorveglia l’osservanza degli adempimenti e coopera con l’autorità di controllo.

Cosa bisognerebbe fare…

Mappatura dei processi (quella che si dovrebbe fare anche per il sistema qualità aziendale)
Predisporre i Report (registri dei trattamenti previsti dalla normativa)
DPIA, (chi ha ancora il documento effettuato per la Privacy può partire Analisi dei rischi (anche in questo caso l’attività è prevista per l’adeguamento alla nuova versione della ISO 9001:2015)
Valutare nomine e deleghe, es. DPO esterno (preferibile)
Verifica dei trattamenti (da verbalizzare)
Nomina addetti da formalizzare
Piano di mitigazione in relazione alle evidenze del DPIA
Modulistica per data breach (vedi esempio http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835)
Modulistica per informative e raccolta consensi
Gestione diritti degli interessati

E inoltre…

Informare e formare i dipendenti e i collaboratori aziendali
Valutare sistemi di disaster recovery plan (salvataggio dati)
Pianificare periodici test di vulnerabilità.
Introdurre strumenti di monitoraggio delle performance di rete.
Valutare polizze assicurative per la copertura dei rischi non mitigabili.

Considerazioni finali

La prima reazione al GDPR per l’imprenditore del settore costruzioni è di “scoramento” per la necessità di adeguarsi ad un nuovo ulteriore adempimento.

Specie se si considera che il regime sanzionatorio entrerà a regime dal 25 maggio del 2018 ed è particolarmente importante (si parla di multe anche di 20 mio € !!!). Il Garante inoltre ha aumentato l’organico preposto al controllo passando da 100 a 125 unità. GDPR è un regolamento e non una direttiva UE per cui è immediatamente esecutivo e non abbisogna di un recepimento italiano.

Se anche il rischio di sanzioni è (molto) remoto resta lo spunto per porre l’attenzione al proprio Sistema Informativo, spesso visto come fanalino di coda negli strumenti organizzativi dell’impresa edile.

Nell’era della digitalizzazione, del Iot (Internet of Think) e Industry 4.0 è arrivata l’ora di alzare l’asticella di attenzione sulla Cyber Security; anche per noi costruttori, ecco la morale del GDPR.

Se vuoi saperne di più contattaci o prenota il tuo check-up

Tags:

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicitari".
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-functional	11 mesi	Il cookie è impostato dal cookie consenso GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri".
cookielawinfo-checkbox-performance	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazionali".
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_100859114_1	1 minute	Impostato da Google per distinguere gli utenti.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.
CONSENT	2 years	YouTube imposta questo cookie tramite i video di YouTube incorporati e registra dati statistici anonimi.

Cookie	Durata	Descrizione
_ir	session	Questo è un cookie di Pinterest che raccoglie informazioni sul comportamento dei visitatori su più siti web. Queste informazioni vengono utilizzate sul sito Web al fine di ottimizzare la pertinenza della pubblicità.
edgebucket	session	Reddit imposta questo cookie per salvare le informazioni su un utente Reddit di accesso, allo scopo di consigliare annunci pubblicitari e aggiornare il contenuto.
remixlang	1 year	Questo cookie è impostato dal provider vk.com. Questo cookie viene utilizzato per scopi pubblicitari.
session_tracker	2 hours	Questo cookie è impostato da Reddit. Questo cookie viene utilizzato per identificare il traffico web affidabile. Aiuta anche nella pubblicità sul sito web.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati sulle pagine di Youtube.
yt-remote-connected-devices	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.

Cookie	Durata	Descrizione
_statid	68 years 18 days 3 hours 14 minutes	Sconosciuto
bci	68 years 18 days 3 hours 14 minutes	Sconosciuto
csv	2 years	Sconosciuto
landref	session	Sconosciuto
remixir	past	Sconosciuto

Roberto Crepaldi

Sede

Qualità Aziendale

I nostri partner

Associati a

Seguici sui social