Indietro

GDPR – Nuovi adempimenti (anche per le imprese di costruzioni)

 

GDPR – Cosa c’è da sapere

Vista la crescita esponenziale dei dati digitali la Comunità Europea ha approvato il regolamento GDPR–  General Data Protection Regulation per uniformare la gestione a livello europeo.

Il quadro normativo di riferimento è il seguente:

L’autorità di riferimento è il Garante per la protezione dei dati personali (http://www.garanteprivacy.it/web/guest/home)

  • Chi è interessato al GDPR?: In pratica tutti coloro che hanno un business e quindi anche tutte le imprese di costruzioni.
  • Cosa c’è da fare?: Analizzare i trattamenti e ridurre, mitigare i rischi che attengono alla gestione dei dati.
  • Come si può fare?: Applicando gli strumenti previsti dalla normativa e attraverso un’analisi oggettiva dei propri Sistemi Informatici.

Analisi dell’infrastruttura tecnologica

La prima cosa da fare è la verifica della vulnerabilità, intesa come capacità di difesa da attacchi esterni o perdita di dati digitali (oltre che cartacei) che nel concreto si traduce nelle seguenti best practise:

  • Penetration test: Attività che consiste in un processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un utente malintenzionato attraverso l’utilizzo di specifici software (es. Wireshark, Nessus, NMap, ecc.).
  • Fi.: Attenzione alle connessioni wireless, ad esempio è buona norma tenere separata la rete Guest da quella interna e verificare che dall’esterno del perimetro aziendale questa non sia raggiungibile.
  • Thetering: Sensibilizzare le persone a non utilizzare il proprio smartphone quale hotspot per la connessione internet di un device interno collegato alla rete aziendale.
  • Antivirus: verificare l’aggiornamento e l’efficacia del proprio sistema antivirus.
  • Accessibilità: inibire l’accesso ai server aziendali ai non addetti ai lavori.
  • Permission: verificare le politiche di accesso alla rete aziendale e relative credenziali (pswd).

Privacy by Design, l’essenza della nuova normativa GDPR

In pratica si passa dal rispetto delle misure “minime” alle misure “adeguate” delle quali il titolare sarà chiamato a dimostrare (come adeguatezza) in caso di verifica da parte del Garante.

Si parla quindi di garanzia di Privacy by design e by default, ovvero di integrazione delle tematiche della privacy sin dalla progettazione del trattamento del dato per acquisire solo quelli necessari al trattamento stesso.

Ma quali sono le novità del GDPR?

  • DPIA (acronimo di Data Protection Impact Assesment) è l’attività, sopra esemplificata, di analisi che si concretizza in un documento programmatico di rappresentazione dello stato di fatto e del progetto di adeguamento.
  • Registro dei trattamenti: che è da aggiornare nel tempo.
  • Diritto all’oblio e conseguente verifica dei tempi e dei modi di cancellazione del dato.
  • Portabilità del dato verso l’interessato o da terzi da questi designati.
  • Gestione delle violazioni: descrizioni delle procedure da porre in atto in caso di attacco di tipo ramsomware, virus, perdita di telefono cellulare, pc portatile aziendale, documenti cartacei, ecc…).

Quali sono gli attori?

  • Titolare dei dati (che ovviamente risponde in prima persona)
  • Responsabile del trattamento (inteso come colui che riceve la nomina formalizzata)
  • Incaricato del trattamento (inteso come chi effettivamente tratta i dati)
  • Interessato (proprietario del dato)
  • DPO (acronimo di Data Protection Officer), nuova figura, che supporta e coordina gli attori coinvolti, sorveglia l’osservanza degli adempimenti e coopera con l’autorità di controllo.

Cosa bisognerebbe fare…

  • Mappatura dei processi (quella che si dovrebbe fare anche per il sistema qualità aziendale)
  • Predisporre i Report (registri dei trattamenti previsti dalla normativa)
  • DPIA, (chi ha ancora il documento effettuato per la Privacy può partire Analisi dei rischi (anche in questo caso l’attività è prevista per l’adeguamento alla nuova versione della ISO 9001:2015)
  • Valutare nomine e deleghe, es. DPO esterno (preferibile)
  • Verifica dei trattamenti (da verbalizzare)
  • Nomina addetti da formalizzare
  • Piano di mitigazione in relazione alle evidenze del DPIA
  • Modulistica per data breach (vedi esempio http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835)
  • Modulistica per informative e raccolta consensi
  • Gestione diritti degli interessati

E inoltre…

  • Informare e formare i dipendenti e i collaboratori aziendali
  • Valutare sistemi di disaster recovery plan (salvataggio dati)
  • Pianificare periodici test di vulnerabilità.
  • Introdurre strumenti di monitoraggio delle performance di rete.
  • Valutare polizze assicurative per la copertura dei rischi non mitigabili.

Considerazioni finali

La prima reazione al GDPR per l’imprenditore del settore costruzioni è di “scoramento” per la necessità di adeguarsi ad un nuovo ulteriore adempimento.

Specie se si considera che il regime sanzionatorio entrerà a regime dal 25 maggio del 2018 ed è particolarmente importante (si parla di multe anche di 20 mio € !!!). Il Garante inoltre ha aumentato l’organico preposto al controllo passando da 100 a 125 unità. GDPR è un regolamento e non una direttiva UE per cui è immediatamente esecutivo e non abbisogna di un recepimento italiano.

Se anche il rischio di sanzioni è (molto) remoto resta lo spunto per porre l’attenzione al proprio Sistema Informativo, spesso visto come fanalino di coda negli strumenti organizzativi dell’impresa edile.

Nell’era della digitalizzazione, del Iot (Internet of Think) e Industry 4.0 è arrivata l’ora di alzare l’asticella di attenzione sulla Cyber Security; anche per noi costruttori, ecco la morale del GDPR.

 

Se vuoi saperne di più contattaci o prenota il tuo check-up

Roberto Crepaldi
Roberto Crepaldi

robertocrepaldi@libero.it

Dal 1990 lavoro nelle imprese di costruzioni, sono stato direttore generale e membro di diversi consigli di amministrazione di imprese di medie e grandi dimensioni. Sono co-fondatore di I.M.S (Integrated Management Services) e responsabile del settore controllo di gestione e contabilità direzionale.

Nessun commento

Leave a reply

Acconsento al trattamento dei dati personali secondo la Privacy Policy di questo sito