La PEC non cesserà di esistere il 1 gennaio 2019!

Pochi lo avevano notato, ma l’art. 65, comma 7 del Decreto legislativo 217/2017, che ha apportato le ultime modifiche al Codice dell’amministrazione digitale, ha previsto l’abrogazione dell’art. 48 dello stesso codice a partire dal 1 gennaio 2019. Tale articolo prevede l’utilizzo della posta elettronica certificata come strumento per tutte le comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna. All’approssimarsi di tale data, e in mancanza di altre norme che andassero a colmare una lacuna così grande, il Consiglio dei Ministri del 12 dicembre ha emanato un decreto legge, il n. 135, pubblicato in gazzetta ufficiale il 14 dicembre scorso, che prevede l’emanazione di un DPCM che garantisca la conformità dei servizi di posta elettronica certificata al regolamento eIDAS. Solo dopo l’entrata in vigore di tale decreto l’articolo 48 del CAD verrà abrogato.

 Fonte:

https://www.linkedin.com/feed/update/urn:li:activity:6480826027420585984

UBER: 400.000 € di penale per violazione della sicurezza dei dati degli utenti

La formazione ristretta del CNIL ha dichiarato una sanzione di 400.000 € nei confronti della società UBER per non aver sufficientemente protetto i dati degli utenti del suo servizio di VTC.

Nel novembre 2017, la società UBER ha rivelato sulla stampa che un anno fa, due persone avevano rubato i dati personali di 57 milioni di utenti dei suoi servizi. A seguito di questa rivelazione, il G29 (Gruppo di CNIL europei) ha creato un gruppo di lavoro per coordinare le procedure di indagine delle diverse autorità di protezione dei dati. L’indagine ha evidenziato le diverse fasi dell’attacco. Gli autori degli attacchi sono riusciti ad accedere agli identificatori archiviati in chiaro sulla piattaforma di sviluppo collaborativo “Github”. Hanno quindi utilizzato queste credenziali per accedere da remoto a un server su cui sono archiviati i dati. Hanno scaricato informazioni su 57 milioni di utenti, inclusi 1,4 milioni di utenti in Francia.

La formazione limitata del CNIL ha stimato che questo attacco non avrebbe avuto successo se fossero state messe in atto alcune misure di sicurezza di base. In particolare, ha sottolineato che: l’azienda avrebbe dovuto aspettarsi che i suoi ingegneri si connettessero alla piattaforma di sviluppo collaborativo “Github” attraverso una forte misura di autenticazione (ad esempio, un identificatore e una password e un codice segreto inviato ad un telefono); non avrebbe dovuto essere memorizzato in modo non criptato all’interno del codice sorgente degli identificatori “GitHub” della piattaforma per accedere al server; per l’accesso ai server “Amazon Web Services S3” contenenti dati utente, dovrebbe aver impostato un sistema per filtrare gli indirizzi IP.

In queste circostanze, la formazione ristretta ha ritenuto che la società avesse fallito nel suo obbligo di sicurezza dei dati personali. Ha condannato Uber France SAS, uno stabilimento di Uber Technologies Inc. e Uber B.V, a una multa di 400.000 € . Data la data dei fatti, il GDPR non era ancora applicabile. Dato il gran numero di persone interessate e la necessità di sensibilizzare gli operatori, la formazione ristretta ha anche deciso di rendere pubblica questa decisione.

Altre autorità europee hanno imposto sanzioni in relazione a questi fatti. Il 6 novembre 2018, l’autorità olandese per la protezione dei dati ha inflitto una multa ad UBER di 600.000 € per mancata notifica della violazione dei dati. Il 26 novembre, l’autorità britannica ha imposto una sanzione di 385.000 sterline per non aver protetto i dati.

 Fonte:

https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs

GDPR, prime sanzioni in Europa: quale lezione trarre per le aziende

Una multa di 4 mila euro a un’azienda austriaca che usava male il sistema di videosorveglianza; una da 20 mila a un’azienda tedesca per la mancata cifratura delle password degli utenti e una da 400 mila a una struttura ospedaliera portoghese per problemi di accesso al dato. Che insegnano le prime sanzioni GDPR.

In attesa di conoscere quale sarà la sanzione che il Garante europeo comminerà alla catena alberghiera Marriot per il recentissimo caso di data breach che riguarda i dati personali di ben 327 milioni di persone, sono arrivate inesorabili le prime sanzioni in Europa ad alcune aziende, private e pubbliche, che non hanno ottemperato alle disposizioni del GDPR, entrato in vigore ormai da sei mesi. 

Le prime multe per violazione del GDPR

Partendo dalla “meno costosa”, nel mese di ottobre il Garante austriaco Datenschutzbehörden, ha erogato, a seguito di una ispezione, una sanzione di 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in malo modo, puntandolo in parte sul marciapiede esterno al perimetro aziendale riprendendo in modo eccessivo, senza alcuna giustificata motivazione e senza informare con apposita cartellonistica i passanti.

Anche la prima sanzione ad oggetto data breach è stata erogata a novembre dal Garante tedesco Der Landesbeauftragte für Datenschutz und Informationsfreiheit ad una azienda tedesca che, dopo aver dichiarato l’avvenuto data breach riguardante ben 330 mila credenziali di caselle di posta elettronica di cittadini tedeschi, è stata multata con una sanzione di 20 mila euro. In questo caso l’attaccante, oltre ad aver sottratto le credenziali utente comprensive di password, le ha anche divulgate in chiaro sulla rete Internet mettendole a disposizione di chiunque; proprio per questo motivo l’autorità tedesca ha sanzionato l’azienda non tanto per l’avvenuta violazione dei sistemi informatici, ma per il fatto che le password delle caselle di posta elettronica venivano salvate in chiaro all’interno della base dati senza l’utilizzo di opportuni sistemi di cifratura.

In Portogallo la comissão nacional de proteccao de dados ha erogato a una struttura ospedaliera nazionale la sanzione più alta di cui ad oggi abbiamo notizia, ben 400 mila euro. La multa è stata data a seguito di un controllo ispettivo che ha permesso di accertare che sui sistemi informativi della struttura ospedaliera vi erano seri problemi di politiche di accesso al dato, evidenziato come, psicologi, infermieri e medici di qualsiasi reparto potevano, non soltanto accedere, ma anche modificare con estrema facilità (e in totale assenza del principio di necessità) i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti che sono stati ospiti del complesso ospedaliero; sempre durante l’ispezione gli auditor hanno evidenziato una inadeguata politica di accesso al dato, evidenziando come il problema non è tanto sulla configurazione del sistema informativo ma soprattutto sulla inadeguatezza della policy di accesso al dato scelta e divulgata a tutti gli operatori della struttura ospedaliera.

Le lezioni che le aziende italiane possono trarre

Quali sono gli spunti di riflessione che le aziende italiane devono trarre da questi episodi? Sicuramente che le tante attese sanzioni sono arrivate e che per adesso sono state inesorabili; basti pensare all’episodio austriaco, una problematica quella della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, probabilmente per mancanza di tempo o per la poca attenzione alla tematica della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo (tutt’oggi) l’esposizione dei cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza in funzione.

La sanzione data all’azienda tedesca ci fa capire come le autorità garanti per la protezione dei dati non erogheranno sanzioni per la sola avvenuta violazione ai sistemi che custodiscono e trattano dati personali, se non nel momento in cui, a fronte di un accertamento, si evidenziassero gravi problematiche di cyber security, come per l’appunto, il madornale errore di conservale la password di un account in chiaro all’interno delle memorie informatiche aziendali, senza alcun ausilio di ormai consolidati sistemi di cifratura. Una riflessione in più va fatta in considerazione alla cattiva abitudine delle aziende italiane che adottano una politica per la gestione del data breach (o dell’incidente informatico) troppo generalista che non tiene in considerazione il fatto che nella maggior parte dei casi l’azienda ha una politica per la gestione dell’incidente informatico ma non ha un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach.

Non per ultimo il caso portoghese ci deve far riflettere su quale possa essere l’attuale stato dei sistemi informativi delle aziende sanitarie, private e pubbliche, del nostro territorio. Nel nostro territorio esistono regioni e strutture virtuose che sono al passo con i tempi e con le norme, ma per esperienza personale dello scrivente, la situazione in molti altri casi è la medesima dell’azienda ospedaliera portoghese, con addirittura alcune realtà che tutt’oggi, da nord a sud, sperano di non ricevere mai alcuna ispezione del Garante nemmeno nel 2019, perché lo stato dell’arte della revisione delle politiche di accesso al dato e dell’attuazione di queste politiche all’interno del sistema informativo aziendale è ancora in una fase embrionale, tra sistemi e software obsoleti non aggiornabili, Data Protection Officer condiviso su più aziende che non riesce a star dietro alle esigenze di una singola azienda ospedaliera, personalizzazioni di software necessarie per l’interoperabilità del dato che generano modalità lasche di accesso al dato stesso, e chi più ne ha più ne metta.

Non ci sono più scuse, e i fatti appena accaduti testimoniano un impegno dei Garanti degli Stati membri nel mantenere la guardia sempre alta, a tutela dei dati dei cittadini. Le aziende italiane sono avvisate, ancora una volta, grazie alle disavventure di altri. Colgano tutti l’occasione per imparare dagli errori e impegnarsi nell’ottemperanza della norma, sia dal punto di vista delle politiche e dei regolamenti aziendali, sia dal punto di vista implementativo e tecnologico.

  

Fonte:

https://www.agendadigitale.eu/sicurezza/privacy/gdpr-prime-sanzioni-in-europa-quale-lezione-trarre-per-le-aziende/

Gdpr, certificazione e accreditamento: che c’è da sapere

La certificazione volontaria a tutela delle persone fisiche con riguardo al trattamento e la libera circolazione dei dati personali è un’importante innovazione introdotta dal GDPR. Tutto quello che c’è da sapere sull’istituto della certificazione, l’accreditamento, i requisiti aggiuntivi e i criteri approvati.

C’è una cosa che forse ancora non è stata ben compresa del Il GDPRnon è la legge sulla privacy, ma disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Chiarito questo, e compreso appieno l’importanza della certificazione e il valore dell’accreditamento, ogni lettura, interpretazione e applicazione, diverrà più fluida e si potrà leggere correttamente il ruolo che, il legislatore europeo, ha voluto attribuire al titolare del trattamento.

INDICE DEGLI ARGOMENTI:

  • Il principio di responsabilizzazione
  • L’istituto della certificazione
  • L’accreditamento degli organismi di certificazione
  • Il ruolo di Accredia
  • Requisiti aggiuntivi (art. 43.3)
  • Lo standard ISO/IEC 17065:2012
  • Criteri di certificazione approvati (art. 42.5)
  • Quali certificazioni possibili
  • Schemi di certificazione aspecifici
  • Schemi di certificazione specifici
  • Schemi accreditati

Il principio di responsabilizzazione

Con la definizione del “Principio di Responsabilizzazione” (artt. 5.2 e 24), il legislatore mette il titolare del trattamento nella condizione di dover essere sempre pronto a dimostrare di aver rispettato e di essersi conformato agli obblighi identificati nel regolamento. Nei fatti, con quali strumenti il titolare potrà dimostrare di aver attuato quelle misure tecniche e organizzative adeguate? Ed ancora, come potrà il titolare dimostrare che tale adeguatezza sia valida per tutta l’organizzazione e che le misure siano realmente riesaminate e aggiornate qualora necessario per garantire ed essere in grado di dimostrare che il trattamento sia effettuato conformemente al regolamento?

L’istituto della certificazione

Le risposte sono nell’art. 42.1 e nel considerando 100.

L’introduzione dell’istituto della certificazione consente di attestare pubblicamente il livello di conformità dell’azienda. L’organizzazione certificata relativamente ai processi, prodotti e servizi aziendali a cui è applicabile, fornisce garanzia verso le parti interessate dell’adozione di un metodo di analisi e controllo dei principi e delle norme di riferimento.

Il GDPR pertanto, ha assegnato un ruolo fondamentale a strumenti di regolamentazione volontaria, noti come “soft law”; questi non sono obbligatori ma nel momento in cui il Titolare o il Responsabile del trattamento decidono di adottarli, diverrà obbligatorio supportare l’Organismo di certificazione (CaBs) con tutte le informazioni necessarie (art.42.6). Va detto inoltre che la certificazione di per sé non rappresenta la prova assoluta di conformità del titolare, ma costituisce un valido elemento di giudizio per supportare l’accountability dello stesso o del responsabile del trattamento.

A ben leggere l’articolo 42.1, risulta evidente come il GDPR attribuisca agli Stati membri, alle autorità di controllo, al comitato e alla commissione, in termini di certificazione, il solo ruolo di «incoraggiare» in particolare (anche se non in via esclusiva) – a livello EU – «meccanismi» di certificazione della protezione dei dati allo scopo di dimostrare la conformità al regolamento.

L’utilizzo del verbo «incoraggiare» inoltre – nella logica del legislatore europeo – potrebbe essere letto come la volontà di attuare misure di stimolo, nell’ambito delle rispettive competenze, indirizzate a tutti quei soggetti in grado di elaborare processi e schemi di certificazione nuovi e utili a coprire le esigenze introdotte dal nuovo regolamento, compresi gli scheme owner (cfr. WP29 n. 261)

Inoltre, con il termine meccanismo, usato nella sua forma plurale «meccanismi» (art. 4.1), il legislatore ha inteso introdurre un sistema basato su un’ampia pluralità di schemi, giustificando di fatto l’impiego della norma internazionale ISO/IEC 17065:2012, a vantaggio principalmente delle esigenze delle micro, piccole e medie imprese e di una specificità settoriale. A tal proposito giova ricordare che, già nel settembre 2014, l’Autorità Garante Uk, ICO, chiese a tutti i soggetti interessati (ICO privacy seals project Framework criteria – draft consultation v.1.3) documentazione utile a produrre schemi di certificazione, «incoraggiando» di fatto quanto richiamato dall’art. 42.1

Più nel dettaglio, il documento richiamava alcuni “criteri” che, gli eventuali nuovi schemi di certificazione avrebbe dovuto soddisfare (pag. 5):

  • Essere un nuovo schema di certificazione protezione dei dati personali
  • Dover coprire il trattamento dei dati personali in Uk
  • Essere rivolto al consumatore, e promuovere la fiducia dei consumatori e la protezione dei dati dei consumatori
  • Essere basato sulla certificazione di prodotto, processo e servizio (EN-ISO/IEC 17065:2012),

L’accreditamento degli organismi di certificazione

L’accreditamento degli Organismi di certificazione (CaBs), come indicato dall’EU Reg. 679/2016, identifica in un ente indipendente che ne attesti competenza ed indipendenza di giudizio, la possibilità di essere accreditati.

Per quanto attiene il processo di accreditamento dell’organismo di certificazione, gli Stati membri hanno il compito di «garantire» che gli organismi di certificazione siano accreditati da uno o entrambe tra: l’Organismo nazionale di accreditamento (per l’Italia, Accredia) e l’Autorità di controllo competente (per l’Italia, il Garante) (art. 43.1, lett. a) e b)).

Un primo problema sembra nascere dalla lettura attenta dell’art. 2.11 Reg. 765/2008 ove viene specificato che l’Ente nazionale di accreditamento è “il solo ente”, in ogni stato membro, che possa effettuare l’accreditamento.

Questa definizione parrebbe in contrasto con quanto indicato dall’art. 43.1 del GDPR, in quanto viene attribuita all’Autorità di controllo, la stessa facoltà riguardo all’accreditamento dei CaBs. L’indicazione fornita dal WP29 n. 261 è che l’art. 43.1 è lex specialis nei confronti dell’art. 2.11 del Reg. (CE) 765/2008.

Le linee guida WP29 n. 261 pertanto, ancorché non definitive, argomentavano già in modo esaustivo la questione, fornendo un autorevole parere su quale norma adottare e le ragioni per cui la scelta primaria dovesse ricadere sugli Organismi di Accreditamento. Il testo dell’art. 43.1, fornisce infatti un margine di manovra: in linea di principio la funzione di accreditamento dell’autorità di controllo dovrebbe essere interpretata come compito soltanto ove applicabile.

Il ruolo di Accredia

L’Italia, fugando qualunque dubbio residuo, ed evitando evidenti conflitti d’interesse nell’espletamento dei propri ruoli istituzionali, attraverso il d.lgs. 101/2018 art. 2 septiesdecies, ha identificato nell’organismo nazionale di accreditamento (Accredia) designato in virtù del regolamento (CE) 765/2008, il soggetto che effettuerà l’accreditamento.

Rimane il potere al Garante di accreditare direttamente in alcune materie specifiche (es. Biometria, genetica, ecc.) o qualora l’Ente di accreditamento risulti inadempiente, mediante una deliberazione pubblicata in Gazzetta Ufficiale.

Pienamente condivisibile la scelta di delegare Accredia quale organismo deputato all’accreditamento, anche per quei settori che richiedono particolari e delicate esperienze da parte degli organismi di certificazione. Rimane il dubbio però circa le tempistiche necessarie ad acquisire le competenze utili a svolgere il ruolo di accreditamento nei settori ritenuti più ad alto rischio, ovvero la capacità di valutare pienamente le «competenze riguardo al contenuto della certificazione», in particolar modo degli auditor e dei Lead auditor (art. 43.2 lett. a) in quei settori delicati quali, appunto, la genetica e la biometria.

Da ultimo, così come è formulato l’art. 2 septiesdecies d.lgs. 101/2018, permane l’ulteriore dubbio su chi possa e debba dichiarare il grave inadempimento dell’Ente Unico Nazionale di accreditamento, tale da generare l’intervento correttivo dell’Autorità Garante.

Il ruolo a cui l’Ente nazionale di accreditamento è chiamato a rispondere, è particolarmente delicato in quanto dovrà gestire coerentemente con il GDPR, tutte le fasi di accreditamento e di mantenimento dello stesso da parte dei CaBs, compresa la capacità di questi ultimi di gestire con competenza professionale la fase di certificazione.

L’accreditamento si riferisce quindi ad un’attestazione di terza parte (Accredia d.lgs. 101/2018) relativa ad un organismo di valutazione, che esprime una dimostrazione formale della sua competenza ad effettuare specifici compiti di valutazione di conformità (ISO 17011 – WP29 n.261).

L’accreditamento rappresenta pertanto il valore della credibilità sul mercato delle competenze di un CaB, richiesta dal GDPR.

Requisiti aggiuntivi (art. 43.3)

Riprendendo la definizione di cui al § 3.9 della EN-ISO/IEC 17065:2012 si può affermare che un sistema di certificazione è un sistema di valutazione della conformità e che pertanto, un sistema di certificazione per la protezione dei dati, è un sistema di certificazione che valuta la conformità al GDPR (standard di riferimento Art. 43 (1) WP29 linee guida n. 261).

Le considerazioni sulla norma di accreditamento da utilizzare, rappresentano un elemento dirimente, al fine di stabilire se e con quale standard di certificazione si possa valutare la conformità specifica e omnicomprensiva al GDPR e del perché siano eventualmente necessari requisiti aggiuntivi nella fase di accreditamento dei CaBs.

Va inoltre riportato quanto indicato dal WP29: «le linee guida non costituiscono un manuale di procedura per l’accreditamento di organismi di certificazione secondo quanto disposto dal GDPR, esse infatti, non definiscono un nuovo standard tecnico per l’accreditamento dei CaBs nell’ambito del GDPR» (WP29 n. 261),

Pertanto, ai sensi del d.lgs. 101/2018 Accredia, accrediterà i CaBs per le certificazioni volontarie dei sistemi di protezione dei dati personali secondo la ISO/IEC 17065:2012 e nel processo di accreditamento applicherà anche “i requisiti aggiuntivi” che verranno forniti dalle autorità di controllo competente ai sensi degli artt. 55 e 56 (art.43.1 lett. b) (WP29 n.261).

Un CaBs attualmente accreditato sulla base della ISO/IEC 17065:2012 per uno schema di certificazione non relativo al GDPR, che desideri estendere l’ambito del proprio accreditamento per compiere certificazioni rilasciate ai sensi del GDPR, dovrà rispondere ai requisiti aggiuntivi definiti dalla autorità di controllo se l’accreditamento è gestito dall’ente nazionale di accreditamento.

Se al contrario l’accreditamento in tali stati viene affidato alle autorità di controllo, un CaBs che si sottopone a un accreditamento dovrà rispondere ai requisiti della relativa autorità di controllo (WP29 n. 261 §4.3).

In Italia Accredia, sulla scia dell’opinion WP29 n.173, ha introdotto l’accreditamento dei CaBs, in “ambito volontario” per la certificazione dei processi, prodotti e servizi, “applicabile a tutte le tipologie di organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati» (circolare Accredia rif. DC2017SSV369 del 14/12/2017).

Un CaBs che, allo stato attuale, risulti essere già accreditato da Accredia sulla base della norma ISO/IEC 17065:2012 per uno schema di certificazione in ambito volontario, per la valutazione della conformità al trattamento dei dati personali, ma non la «conformità al GDPR ai sensi degli artt. 42 e 43» e che desideri estendere l’ambito del proprio accreditamento per coprire le certificazioni rilasciate ai sensi del GDPR, dovrà integrare i “requisiti aggiuntivi” definiti dalle autorità di controllo (WP29 n. 261 §4.3) (cfr. comunicato Accredia Garante 18 luglio 2017).

Da quanto sin qui esposto, non risulta evidente e non viene chiarito neanche dalle linee guida, perché si renda necessario promuovere da parte delle singole autorità di controllo, ai sensi dell’art. 43.1 lett. b), ulteriori requisiti aggiuntivi (WP29 n.261).

Lo standard ISO/IEC 17065:2012

Il quesito trova una ipotesi di risposta nella struttura del richiamato standard di accreditamento, la ISO/IEC 17065:2012.

La ISO/IEC 17065:2012 per sua natura può prevedere l’accreditamento di CaBs che non operino nell’ambito della protezione dei dati personali ma semplicemente nel processo di certificazione di prodotti. In aggiunta, ai fini dell’accreditamento, non è possibile accreditare con la menzionata norma, senza uno schema di riferimento. A tal proposito il GDPR non fornisce alcuna indicazione circa uno schema di certificazione di riferimento anzi, nell’art. 42.1, viene suggerita la necessaria pluralità di meccanismi.

Pertanto, in questa specifica circostanza, il legislatore europeo ha dovuto prevedere ancor prima di “incoraggiare” eventuali schemi di riferimento, la necessaria condizione per l’accreditamento mediante la definizione di criteri autonomi da parte delle autorità.

Alla luce dell’esperienza fatta anche sulla base di quanto indicato dal gruppo WP29 nella opinion 3/2010 sul principio di responsabilizzazione (WP29 n.173 – 13 luglio 2010 paragrafo 69-71) circa l’importanza delle certificazioni e dei recenti risultati di ricerche internazionali (studio Università di Tilburg per conto della Commissione europea), nasce il dubbio sulla reale necessità di ulteriori requisiti aggiuntivi, oltre quelli già indicati nella ISO/IEC 17065:2012.

Il GDPR all’art. 43.2 lett. a-e) indica elementi importanti ma non esaustivi ai fini di valutare la competenza di un CaBs nell’ambito della protezione dei dati personali. A tal proposito lo stesso gruppo WP29 riporta come sia elevato il livello di attenzione nel garantire che gli organismi di certificazione abbiano un «livello appropriato di esperienza nella protezione dei dati personali», in conformità all’art. 43.1.

Il gruppo WP29, nota come sia necessaria una specifica esperienza nel settore della protezione dei dati personali, oltre ai requisiti ISO/IEC 17065:2012 indicati dal GDPR, ad esempio nel caso di altri organismi esterni, come “Laboratori” o anche “Auditor”, che vengano richiamati e/o impiegati nell’ambito di una certificazione.

Criteri di certificazione approvati (art. 42.5)

La formulazione dell’art. 42.5 del GDPR prevede la possibilità di rilasciare da parte di Organismi di certificazione, le certificazioni in base a «criteri approvati» da parte, sia della singola Autorità di controllo competente (art. 58.3), sia del comitato (art. 63).

Il richiamo dell’art. 42.5 circa i poteri dell’autorità di controllo competente (art. 58.3) o dal comitato (art. 63) di approvare i criteri di certificazione, porta a concludere che il GDPR assegna alle autorità di controllo, il compito esclusivo di autorizzare ma non di “sviluppare” i criteri (EDPB 1/2018 pag. 8). In aggiunta, «al fine di poter approvare i criteri ai sensi dell’art. 42.5 ogni autorità di controllo dovrebbe avere una chiara comprensione di cosa aspettarsi, particolarmente riguardo all’ambito e ai contenuti per dimostrare la conformità al GDPR e riguardo ai propri compiti di monitorare e di far valere l’applicazione del regolamento» (Linee guida 1/2018 EDPB).

Ne consegue che, secondo quanto chiarito dalle linee guida EDPB 1/2018 (pag. 5), «(…) i CaBs nella stesura e revisione dei criteri di certificazione, prima dell’invio per l’approvazione alla competente autorità di controllo ai sensi dell’art. 42.5, dovranno tenere in debito conto le indicazioni contenute nelle linee guida compresi gli annex previsti».

Inoltre, «l’approvazione si effettua sulla base del fatto che i criteri di certificazione riflettano pienamente il requisito del GDPR secondo il quale un meccanismo di certificazione permetta a titolari e responsabili di dimostrare la conformità al GDPR» (Linee guida 1/2018 EDPB pag. 10).

Lo sviluppo di criteri di certificazione non deve considerare soltanto quanto richiesto dal mercato ma, per ottenere un’approvazione, dovrebbe tenere in debito conto anche: “la verificabilità”, “la significatività” e la “capacità” dei criteri di certificazione di dimostrare la conformità al Regolamento.

I criteri devono essere formulati per essere chiari, comprensibili e da consentirne un’applicazione pratica.

Tutto ciò constatato e constatato che i criteri debbano solo essere approvati dalle autorità di controllo e che il CaB o lo Scheme Owner di una certificazione debbano definire gli stessi, quali caratteristiche dovrebbero avere questi criteri?

L’ipotesi basata su requisiti di indirizzo generale, potrebbe prevedere, ad esempio:

  • Competenza territoriale
  • Competenza generale o settoriale
  • Identificazione chiara delle norme di riferimento
  • Classificazione delle norme di riferimento
  • Approccio per processi
  • Accessibilità economica
  • Requisiti chiari, logici e facili da seguire anche per i consulenti che decidano di utilizzarlo come guida operativa
  • Modalità di annotazione dei requisiti
  • Accuratezza
  • Completezza dei controlli ma non complessità
  • Metrica di misurazione coerente applicabile in tutti i contesti
  • Comprensibilità e semplicità nell’uso

Inoltre, sulla base della necessaria capacità di dimostrare la conformità al Regolamento dovranno considerare:

  • Protezione dei diritti
  • Controllo delle discriminazioni
  • Protezione delle persone fisiche
  • Facilitare il controllo delle persone sui loro dati
  • Servire o altrimenti non compromettere la certezza del diritto
  • Prevedere limitazioni dei diritti in linea con le norme indicate
  • Approccio tecnologico neutrale e non invasivo
  • Rispetto dei principi di protezione dei dati

Quali certificazioni possibili

Va detto che il GDPR non dà una definizione di certificazione ai sensi della ISO /IEC 17065. Dobbiamo rifarci all’ISO (International Standards Organistion), la quale definisce la certificazione come, «la fornitura da parte di un ente indipendente di una assicurazione scritta che il prodotto, servizio o sistema in oggetto risponda a requisiti specifici». La certificazione quindi è nota come una valutazione di conformità di terza parte (EN-ISO/IEC 17000).

Al fine di migliorare la trasparenza e il rispetto del regolamento, dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione anche per consentire agli interessati di valutare rapidamente il livello di protezione dei relativi prodotti e servizi (considerando 100).

Gli Stati membri, le autorità di controllo, il comitato e la Commissione, avranno pertanto esclusivamente un ruolo di stimolo, incentivando l’istituzione di meccanismi di certificazione.

Va ricordato inoltre che, «la certificazione è volontaria e accessibile tramite una procedura trasparente» (art. 42.3) ma, «[…] non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli artt. 55 o 56».

Spunto ulteriore di comprensione del processo di certificazione richiamato, lo fornisce l’art. 43.1 lett. b) in cui vengono chiaramente indicati gli standard richiesti per l’accreditamento dei CaBs, anche alla luce del d.lgs. 101/2018.

Tale lettura rende evidenti i vincoli entro cui è necessario sviluppare lo “schema di certificazione specifico”, al fine di dimostrare la compatibilità al GDPR.

All’interno del GDPR, vengono richiamati diversi standard internazionali di certificazione utili a valutare la conformità a singoli processi operativi.

Per tale ragione è necessario classificare i meccanismi di certificazione compatibili con il GDPR in due macro-categorie:

 

  • Schemi di certificazione aspecifici

 

sono schemi che, rifacendosi a standard internazionali ISO, sono ampiamente richiamati all’interno di singoli articoli del GDPR stesso. Coprono processi singoli di messa in sicurezza ai sensi del GDPR, ma esclusivamente in forma indiretta, come strumenti di «buona pratica operativa» . Possono essere schemi internazionali o nazionali ovvero linee guida emanate da Agenzie governative (ad es. AgID e altri). A titolo d’esempio all’art. 5.1) lett. d) per dimostrare l’esattezza e l’aggiornamento dei dati, è possibile utilizzare la norma ISO 28590:2017, la ISO 25024, SGCMF10002 ed altre ulteriori norme di settore specifiche; all’art. 5 (1) lett. f) sicuramente va ricordata la norma ISO 27001.

Valutando gli aspetti meramente relativi alla sicurezza del trattamento, richiamati nell’art. 32, abbiamo la possibilità di operare con un maggiore numero di norme tecniche. L’art. 32 rappresenta infatti, il baricentro della sicurezza tecnica e tecnologica, compresa la valutazione dei rischi ed è proprio qui che possiamo concentrare l’utilizzo (a seconda del trattamento che il Titolare o il Responsabile intendano effettuare) delle possibili prassi internazionali o standard ISO.

Ricordiamo a titolo d’esempio, all’art. 32 (1) lett. b) la ISO 27001, la ISO 27002, all’art. 32 (1) lett. c) la ISO 22301 e più in generale la ISO 27018, la ISO 31000, la ISO 29134.

 

  • Schemi di certificazione specifici

 

sono schemi di certificazione che sono determinati partendo dall’insieme delle disposizioni del GDPR e che seguono le obbligazioni previste dalla EN-ISO/IEC 17065:2012 relativamente alla certificazione dei prodotti, processi e servizi.

Questi schemi devono “trasdurre” (ndr. esattamente come avviene nei processi cellulari di creazione dei potenziali elettrici) le disposizioni legali previste dagli articoli e dai considerando del GDPR in criteri omogenei e omnicomprensivi di certificazione, comprendendo naturalmente anche gli aspetti legati alla riservatezza, integrità e disponibilità, oltre che della resilienza, dei trattamenti.

Possiamo dunque concludere che, mentre uno schema aspecifico certifica la conformità di un singolo processo dell’impianto privacy, lo schema specifico certifica la conformità dell’intero impianto privacy.

Appare infine evidente che, un impiego di standard internazionali cd. “aspecifici” per valutare la conformità al GDPR, non risulterebbe compatibile con la normativa di riferimento, in relazione alla norma indicata dall’art. 43.1 per l’accreditamento (ISO/IEC 17065:2012 Prodotto, processo e servizio e non ISO/IEC 17021:2012 Sistemi di gestione).

La certificazione ai sensi del GDPR può essere rilasciata solo a seguito di una valutazione indipendente di evidenza da un ente di certificazione accreditato (per l’Italia da Accredia), che dichiari che i criteri di certificazione sono stati soddisfatti (EDPB 1/2018).

Schemi accreditati

Nel 2010, esprimendosi sul principio di “responsabilizzazione”, il WP29 con l’opinion n. 173, sottolineò come un meccanismo di certificazione poteva senz’altro contribuire a provare che il titolare avesse ottemperato alle previsioni (DIR 95/46/CE) e quindi che avesse correttamente definito e implementato le misure appropriate. Questa valutazione anticipa quanto poi introdotto con il GDPR.

Accredia ha accreditato uno schema di certificazione su base volontaria (art. 4.1 reg. UE 765/2008), ISDP©10003, per la certificazione delle organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del trattamento, soggetti ai vincoli normativi vigenti nel territorio dell’EU, i requisiti necessari per la corretta valutazione della conformità alle norme (Accredia circolare rif.DC2017SSV369 del 14/12/2017).

Come da precedente distinguo è uno schema specifico e globale, che sottopone l’intero impianto privacy aziendale a certificazione di conformità.

Può inoltre essere applicato ai Titolari o Responsabili di trattamenti di dati non soggetti ai vincoli

normativi dell’EU, che necessitano di dimostrare la previsione di garanzie adeguate circa la conformità alle norme sul trattamento dei dati personali.

Lo schema valuta l’assenza di inadeguatezze procedurali che possano creare diseguaglianze o

discriminazione negli individui oggetto del trattamento secondo i principi espressi dall’art. 8 paragrafo 1 della Carta dei diritti fondamentali dell’EU e l’art. 16 paragrafo 1 del Trattato di Lisbona.

Tale condizione deve passare attraverso il riordino dell’intero patrimonio informativo dell’organizzazione, supportato da una approfondita valutazione dei rischi e laddove necessario, conseguente valutazione d’impatto che il trattamento dei dati personali può comportare per i soggetti interessati.

Va precisato pertanto che l’Accreditamento rilasciato da Accredia è da intendersi volontario, e non regolamentato ai sensi degli artt. 42 e 43 dell’EU Reg. 679/2016.

In conclusione, in attesa dell’approvazione dei criteri e dei requisiti aggiuntivi per l’accreditamento, la certificazione accreditata può: « (…) costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento».

 

Pubblicato sulla gazzetta ufficiale del 4 settembre 2018 il decreto delega che raccorda la normativa italiana con il Regolamento Europeo

  • Il 4 settembre 2018 è stato pubblicato il Decreto delega n. 101 del 10 Agosto

2018 sulla gazzetta ufficiale della repubblica italiana numero 205, che

raccorda la normativa italiana con il Regolamento Europeo (EU) 679/2016.

Nei prossimi articoli, forniremo le nostre considerazioni all’applicazione delle

disposizioni.

Decreto Delega

PROTEZIONE DATI: DA OGGI SI APPLICA IN ITALIA  IL REGOLAMENTO UE

PROTEZIONE DATI: DA OGGI SI APPLICA IN ITALIA  IL REGOLAMENTO UE
Cambia in maniera radicale l’approccio alla protezione dei dati

Responsabilizzazione per  imprese ed enti, maggiore trasparenza, nuovi diritti per le persone, più controllo sui propri dati. Norme applicabili anche al di fuori dell’Unione europea

Da oggi si applica in Italia il Regolamento Ue in materia di protezione dei dati personali. La nuova disciplina uniforma le regole in tutti i Paesi dell’Unione e rappresenta la più grande riforma in questo settore da un quarto di secolo a questa parte.

Il Regolamento adegua il quadro normativo al nuovo contesto sociale ed economico – caratterizzato da un incessante sviluppo tecnologico e da forme sempre più massicce e pervasive di scambio e  sfruttamento di dati – rafforzando le tutele poste a salvaguardia dei dati personali e i diritti degli individui.

Con il Regolamento cambia in maniera radicale l’approccio alla protezione dei dati: imprese ed enti dovranno operare seguendo il principio di responsabilizzazione (“accountability”), considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività e promuovere consapevolezza negli utenti sui loro diritti e le loro libertà.

Nello specifico, la prima novità fondamentale del Regolamento è quella di essere integralmente applicabile alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell’Unione europea o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’Ue.

Ogni utente avrà il diritto di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali, potrà trasferirli da un titolare del trattamento ad un altro, compresi i social network (“diritto alla portabilità dei dati”), e vedrà rafforzato il suo diritto di far cancellare, anche on line, le informazioni  non più necessarie rispetto alle finalità per le quali sono state raccolte (“diritto all’oblio”).

La nuova disciplina introduce anche altre importanti misure. Imprese ed enti dovranno rispettare i principi della “privacy by design” e della “privacy by default”: dovranno inserire cioè garanzie a favore degli utenti in dalla progettazione di ogni trattamento e di ogni prodotto o servizio che comporti il trattamento di dati personali. Il consenso all’uso dei dati dovrà essere ancora più specifico per ogni servizio reso. Chi tratta dati avrà l’obbligo di informare le Autorità garanti, e nei casi più gravi gli stessi interessati, in caso si verifichino furti, diffusione illecita o perdite di dati (“data breach”).

Altra importante innovazione è la figura del Responsabile della protezione dei dati (RPD) che dovrà operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti di dati o usano particolari categorie di dati, offrendo consulenza e supporto al proprio titolare o responsabile del trattamento.

Le sanzioni per chi non rispetta le regole potranno arrivare fino al 4 per cento del fatturato globale annuo. Tutte le Autorità di protezione dati dei Paesi Ue, alle quali è affidato il compito di vigilare sull’attuazione del Regolamento, avranno gli stessi poteri e gli stessi compiti, a garanzia ulteriore di un’applicazione realmente uniforme ed efficace nell’intera Unione.