simplebooklet thumbnail

AWDoc vs GDPR

AWDoc e il GDPR
Il Regolamento Generale sulla Protezione dei Dati
può essere una opportunità per ripensare la
sicurezza e l’organizzazione delle informazioni
1
1
l 25 maggio 2018 è la data di applicazione del Regolamento della Comunità Europea 679/2016,
relativo alla protezione delle persone fisiche riguardo al trattamento dei dati personali
nonché alla libera circolazione di tali dati. Noto come GDPR (General Data Protection Regulation),
si applica al trattamento dei dati personali per quanto riguarda la loro raccolta, elaborazione,
conservazione e cancellazione, indipendentemente dalle modalità di esecuzione, anche se non
automatizzate.
ntroducendo nuovi obblighi e nuove tutele, il GDPR istituisce un nuovo quadro a tutela della
privacy. Valutazione d’impatto, registro dei trattamenti, procedure di notifica del data breach,
nomina del Data Protection Officer, sono solo alcuni degli strumenti con i quali il GDPR
responsabilizza i titolari di trattamento che, oggi più che mai, devono fare della sicurezza dei
dati un elemento centrale della propria strategia aziendale.
ispetto alla Legge sulla Privacy 196/2003, viene introdotto un principio di responsabilità
che richiede espressamente alle organizzazioni di essere in grado di dimostrare la
conformità al GDPR, attraverso una specifica documentazione e la nomina di figure responsabili.
Anche se l’analisi degli adempimenti necessari va declinata a vari livelli di complessità, in
funzione delle specifiche attività che riguardano il trattamento dei dati, essa non può essere
evitata, dato che la non conformità può portare a pesanti sanzioni, che possono arrivare al
valore più alto tra 20 milioni di euro e il 4% del fatturato annuo globale.
I
I
R
2
Chi deve essere “conforme”?
Deve garantire la conformità al GDPR qualsiasi Azienda, Organizzazione o Studio Professionale
che raccolga, memorizzi e/o elabori informazioni personali relative a cittadini UE oppure monitori
il comportamento di cittadini UE.
In pratica sono soggette tutte le organizzazioni che gestiscono in un qualsiasi modo informazioni
personali che riguardano cittadini UE. Ad esempio, deve garantire la conformità anche una
organizzazione esterna alla Comunità Europea ma che abbia anche solo alcuni dipendenti
europei.
Il Regolamento fa distinzione tra “titolare del trattamento” o “responsabile del trattamento” ai
fini degli adempimenti necessari per la conformità. I titolari del trattamento sono le entità che
determinano le finalità, le condizioni e i mezzi per l’elaborazione dei dati personali, mentre i
responsabili del trattamento sono le entità che elaborano i dati personali per conto dei titolari.
Prendiamo, ad esempio, uno studio di
consulenza aziendale che si occupi della
gestione amministrativa del personale dei
propri clienti, esternalizzando la elaborazione
dei cedolini paga ad un’altra struttura.
Lo studio dovrà condividere, con la struttura
incaricata della elaborazione, informazioni
personali relative ai dipendenti in modo da poter
produrre correttamente i cedolini. In questo
caso, ai fini del GDPR, lo studio di consulenza è
il titolare del trattamento dei dati, mentre il
fornitore del servizio di elaborazione è il
responsabile del trattamento.
Per ognuno di questi ruoli il Regolamento
prevede degli adempimenti diversi, per cui è
importante individuare quale sia il ruolo della
organizzazione (uno dei due o entrambi).
Cosa si intende per “Dato Personale”?
Nell'ambito del GDPR viene considerato Dato Personale un qualsiasi elemento in grado di
portare alla identificazione di una persona in modo diretto o indiretto.
Rientrano in questo, ad esempio, foto, nomi, coordinate bancarie, indirizzi email, estremi di
documenti di identità, post su siti web di social network, informazioni mediche, indirizzi IP
associati a un account o anche dispositivi elettronici specifici di un utente.
3
3
Ad esempio, consideriamo i pettorali numerati
che vengono assegnati ai partecipanti da un
Circolo Ricreativo che organizza un torneo di
ballo acrobatico, utilizzando un sistema
informatico ai fini della composizione della
classifica finale e della pubblicazione sui social
network. Tali numeri identificano univocamente
il concorrente e consentono di risalire al nome
dell’iscritto, quindi al suo indirizzo, alle foto, a
screening medici eseguiti prima della gara e altri
tipi di informazioni. Per questo sono considerati
dati personali e quindi vincolano il Circolo
Ricreativo alla conformità.
Cosa è AWDoc ?
AWDoc è la soluzione sicura ed efficiente per archiviare, ricercare e condividere documenti in
assoluta sicurezza su Tablet e PC.
Trascinandoli, i documenti vengono inseriti nella cassaforte di AWDoc e memorizzati in forma
cifrata con robusti algoritmi crittografici, a disposizione solo degli utenti abilitati e inaccessibili
a chiunque altro, anche ai sistemisti che prestano assistenza al sistema.
A seconda della soluzione scelta, i documenti possono essere archiviati nel datacenter AWDoc,
collocato sul territorio italiano, oppure direttamente presso gli uffici del Cliente.
Entrambe le soluzioni assicurano lo stesso livello di sicurezza.
Pur senza alcuna conoscenza di informatica, gli utenti autorizzati possono facilmente ritrovare i
documenti con uno dei tanti metodi a disposizione, possono leggerli ed annotarli, in ufficio, in
treno, in albergo, anche off-line, ma sempre e solo se in possesso delle credenziali personali.
4
Perché AWDoc è un importante supporto
per la gestione dei dati e dei relativi
adempimenti ?
ONFORMITA’ AGLI ADEMPIMENTI RELATIVI ALLA SICUREZZA
In virtù del principio di "accountability", il Regolamento dispone che “il responsabile del
trattamento adotti politiche e attui misure adeguate a garantire e a dimostrare che il
trattamento dei dati personali viene effettuato in conformità con il Regolamento stesso”.
Questo comporta, tra l’altro, l'applicazione di logiche e meccanismi di responsabilizzazione
interna alle singole Aziende e alle Reti di Aziende, relativamente all’utilizzo di tali informazioni e
alla produzione dei reports.
Per il principio della "privacy by design" il GDPR richiede che “nel trattamento dei dati
personali si adottino adeguate misure tecniche e organizzative sia al momento della progettazione
del processo, sia nella esecuzione del trattamento stesso.
Da ciò consegue che la protezione dei dati debba essere integrata nell'intero ciclo di vita della
tecnologia, dalla primissima fase di progettazione fino alla ultima condivisione, utilizzo ed
eliminazione definitiva.
In conformità con la direttiva 95/46/CE, salvo casi di deroga codificati, il GDPR vieta il
trasferimento dei dati all’estero se questo comporta il mancato rispetto dei livelli di
protezione garantiti dal Regolamento.
Questo principio trova immediata applicazione nell'archiviazione dei dati in Cloud, e necessita di
una verifica nei confronti di dati inseriti in aree di archiviazione relativi a servizi di cui è difficile
individuare la localizzazione e al di fuori del controllo diretto dei responsabili del trattamento.
C
5
5
La VIOLAZIONE DEI DATI - Gestione del “DATA
BREACH”
Per “Violazione di datisi intende la violazione di
sicurezza che comporta accidentalmente o in modo
illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso ai dati
personali trasmessi, conservati o comunque trattati
(Art. 4 p. 12 GDPR).
L’art. 33 p. 5 del GDPR prescrive al titolare di
documentare qualsiasi violazione dei dati personali,
al fine di consentire all’autorità di controllo di
verificare il rispetto della norma, e di darne
informativa entro 72 ore dall’accertamento, dunque
in tempi molto stretti.
Ne discende che le generali attivi di scoperta
dell’incidente, come le successive di trattamento,
devono essere dettagliatamente documentate
indicando le violazioni, le circostanze, le
conseguenze ed i rimedi, devono essere tracciabili,
replicabili ed esponibili nelle sedi competenti.
Occorre in ogni caso tenere conto che la mancata
notifica e/o comunicazione possono rappresentare,
per l’autorità di controllo, un indizio di carenze più
profonde e strutturali quali ad esempio carenze o
inadeguatezza delle misure di sicurezza adottate. In
tal caso, trattandosi di ipotesi separate ed
autonome, l’autorità procederebbe per l’ulteriore
irrogazione di sanzioni.
La gestione di dati cifrati, se effettuata con procedure idonee ed allo stato dell’arte,
consente di proteggersi sia dal furto di informazioni, sia dall’esigenza di darne notifica entro i
tempi stabiliti (vedi art. 29 Data Protection Working party “17/EN WP250”).
AWDoc, in quanto sistema progettato e realizzato per gestire informazioni documentali in
modalità cifrata e con accessi protetti, costituisce uno strumento in grado di realizzare e
dimostrare la conformità agli artt. 24 e 32 del GDPR per quanto riguarda:
l'adozione di misure tecniche e organizzative tali da garantire il rispetto del GDPR
la capacità di dimostrare che il trattamento e effettuato conformemente al GDPR
la collocazione in Italia dei supporti fisici dei dati archiviati
la funzione di riesame ed aggiornamento di tali misure quando necessario
la garanzia di un livello di sicurezza dei dati adeguato al rischio.
6
OTIVAZIONI DI CARATTERE ORGANIZZATIVO
L'art. 35 introduce la novità della Valutazione d’impatto sulla protezione
dei dati che deve essere effettuata dal Responsabile del Trattamento
quando questo - per l'utilizzo di nuove tecnologie e per la natura dei dati
trattati - può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Tra i vari aspetti che la Valutazione d'Impatto deve trattare, devono essere previste le misure
da adottare per affrontare i rischi, le misure di sicurezza e i meccanismi per garantire la
protezione dei dati personali e per dimostrare la conformità al Regolamento, tenuto conto
dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
La Valutazione d'Impatto è solo uno tra i vari documenti ufficiali previsti dal GDPR, che
debbono essere messi a disposizione delle autorità di controllo e, nelle organizzazioni più
articolate, sottoposti a revisione dalle funzioni di Internal Audit:
a. Il REGISTRO DEI TRATTAMENTI
b. La VALUTAZIONE DI IMPATTO SULLA PRIVACY
c. Documentazione inerente la MANIFESTAZIONE DI CONSENSO DEGLI INTERESSATI
d. La formalizzazione dei PROCESSI AZIENDALI inerenti al trattamento dei dati.
AWDoc consente con facilità di strutturare i documenti, condividerli e renderli disponibili con
la massima sicurezza e riservatezza a tutti gli interessati - interni ed esterni
all’Organizzazione - come Consulenti, Studi Legali ecc. - senza duplicazioni e sotto il pieno
controllo delle figure preposte al loro trattamento:
a. Il TITOLARE DEL TRATTAMENTO DATI
b. Il RESPONSABILE DEL TRATTAMENTO DATI
c. Uno o più INCARICATI DEL TRATTAMENTO DATI.
M
AWDoc consente di realizzare un’unica struttura informativa, con accessi protetti da credenziali in
conformità con le normative di sicurezza, che mette a disposizione tali informazioni con possibilità
differenti a seconda del ruolo dell'utente nell'ambito della Organizzazione (sola lettura,
aggiornamento, inserimento).
AWDoc è in grado di produrre reports dettagliati sugli accessi effettuati da ogni utente e sulle
attività svolte su ogni singolo documento presente nel sistema.
7
7
Le principali funzionalità di AWDoc a
supporto della conformità
estione degli accessi protetta da
credenziali secondo le più avanzate
normative di sicurezza.
ifratura automatica, secondo i più
avanzati standard di crittografia, di tutte
le informazioni e dei documenti inseriti nel
sistema.
eport dettagliato di tutte le attività
svolte sul sistema dagli utenti
autorizzati.
trumenti integrati per la Firma Digitale, in
grado di produrre documenti firmati
digitalmente con pieno valore legale.
ackup automatico giornaliero dei
documenti.
estione automatica delle versioni dei
documenti condivisi, soggetti a modifica
da parte degli Utenti abilitati, con indicazione
di chi ha modificato una certa versione del
documento, con possibilità di editing diretto
in AWDoc dei documenti condivisi.
cansione automatica di caselle di posta
elettronica per estrarre e catalogare in
sicurezza i documenti presenti come allegati
alle email.
ossibilità di inviare automaticamente i
documenti di specifiche “cartelle” al
servizio integrato di Conservazione
Sostitutiva a norma.
G
C
R
S
B
G
S
P