Guida al GDPR per chi non ne vuol sapere: e se provate a leggerlo il GDPR vi cala la palpebra?


 

Domanda: Che vuol dire GDPR?

 

Se otteniamo questo tipo di risposte:

  • Grandiosa Donazione Per Riluttanti?
  • Geniale Dono Per Repubblicani?
  • Generosa Dotazione Per Remittenti?

Allora abbiamo un piccolo problemino.

 

GDPR significa

General Data Protection Regulation

 

Allora proviamo a capirci:

almeno cosa significhi l’acronimo (che non richiede acredine nella lettura) dovrebbe essere assodato.

Insomma, ma lo avete sfogliato?

Se davvero volete implementarlo sto benedetto GDPR dovreste almeno provare a leggerlo, ma, vi assicuro, è una lettura non proprio amena.

Mettiamola così, se riuscite a non addormentarvi dopo la prima pagina siete già a buon punto, ma dopo averlo letto senza abbandonarvi tra le braccia di Morfeo (no non è il nome di un immigrato), viene il compito difficile: capirlo.

E si perché oltre ad essere una lettura non proprio divertente occorre anche capire che cavolo significhi tutta quella roba scritta in un legalese europeo.

Vediamo se ancora una volta, nel mio piccolo, riesco a darti una mano.

Iniziamo dal titolo:

General Data Protection Regulation.

General

Indica che si tratta di qualcosa di comprensivo, non nel senso che vi capisce, ma nel senso che comprende un sacco di cose.

Data

Ben lungi dall’essere Data il “robot umanoide” che in Start Trek Next Generation fungeva da ufficiale scientifico al servizio del comandante Picard, qui per data si intende, semplicemente, “i dati”.

Protection

Qui il termine fa riferimento alla protezione in senso lato delle risorse citate al termine precedente.

Il che significa che, utilizzando quanto appreso fino ad ora, stiamo parlando di un qualcosa che parla in maniera comprensiva della protezione dei dati.

Regulation

L’ultimo termine è Regulation. Questo termine merita un attimo più di attenzione, dal momento che è un termine specifico.

Directive Vs. Regulation

Ovviamente da buoni cittadini europei avete ben chiara la differenza tra Directive e Regulation. Fa parte della base minima di conoscenza civica che ognuno di noi dovrebbe avere (sono buono, non vi chiedo la differenza tra legge quadro e decreto legislativo).

Siccome io sono malfidente per definizione, mi permetto di supporre che non tutti abbiano chiaro la differenza tra “Directive” e “Regulation” e quindi provo a spiegarla.

Chiedo già scusa a giudici ed avvocati, legulei assortiti e giuristi vari per il linguaggio non proprio tecnico, ma lo scopo che mi propongo è quello di far capire le cose, non scrivere in “gergo” diventa quindi un obbligo.

Regulation

Quando ci troviamo di fronte a questa roba ci troviamo di fronte a una “legge” Europea che diventa parte integrante delle leggi di tutti gli stati membri.

In presenza di una “Regulation” gli stati membri non sono chiamati a legiferare. Il testo così come è (eventualmente tradotto nella lingua del paese) diventa parte integrante del suo corpo giuridico. Questo significa che vincoli, multe, azioni e altre cose alla legge collegate indicate nel testo sono immediatamente attuate nel momento in cui la “Regulation” diventa “attiva”

Come a dire dal 25 Maggio 2018 ti potresti aspettare un controllo e se non in regola ti potresti vedere comminata una multa pari al 4% del tuo giro d’affari… io ci starei attento…

Directive

Se la Regulation è un atto legislativo che entra immediatamente nel corpo giuridico del paese “cosi come è”, una direttiva (come quella che era in vigore prima del GDPR, la “Directive 95/46/EC” del 1995) è invece uno strumento tramite cui la UE setta gli obiettivi che ogni stato deve implementare attraverso la introduzione di leggi locali che devono regolare la materia in oggetto della “Directive”

La principale differenza tra le due è che in caso di “Regulation” tutti i paesi membri dell’UE si trovano di fronte ad una legislazione omogenea in termini di obiettivi, adempimenti e struttura, mentre nel caso della “Directive” è dato al singolo stato la potestà legislativa per legiferare in merito agli obiettivi definiti. Va da se che, anche se alla fine l’obiettivo deve essere raggiunto in maniera il più possibile omogenea tra i vari membri, la reale modalità di raggiungimento può variare sensibilmente da stato a stato in caso di “Directive”.

Il fatto che una “Regulation” entri in vigore cosi come è stata emanata dagli organismi UE non significa, in realtà, che lo stato che la applica non deve legiferare in alcun modo…alcune attività accessorie possono essere richieste per adeguare il corpus legislativo alla “Regulation” in maniera che questa sia applicabile. Attenzione che questo potrebbe erroneamente portare a pensare che la “Regulation” non sia quindi in vigore, sbagliato… funziona anche se ne mancano i pezzi accessori, non si scappa questa parte il prossimo anno volenti o nolenti.

Fatto questo doveroso cappellino introduttivo siamo ora in grado di leggere il titolo.

GDPR significa:

 

Legge EU comprensiva e vincolante sulla protezione dei dati

Bene abbiamo passato il primo scoglio nella lettura del documento. Adesso manca tutto il resto, ma si sa chi ben comincia è a metà dell’opera.

GDPR un po di chiarimenti prima di leggere

Visto che siamo riusciti a leggere il titolo (bravi bravi) è meglio fissarci in testa un paio di cose prima di proseguire la lettura, giusto per essere in grado di interpretare quel misterioso testo.

  • se non lo sai sallo

la prima cosa che dobbiamo metterci in testa è che il testo non è scritto per novizi o principianti, sta a noi andare a recuperare e capire le referenze nel testo. una cosa importante è ricordarsi che il GDPR è l’evoluzione della direttiva sulla privacy del 95, e quindi dobbiamo aspettarci almeno una somiglianza nella nomenclatura ed alcune assunzioni del tipo…questo è evidente era già presente nella legislazione precedente.

  • non aspettarti il dettaglio tecnico

NOn troverete nel testo un dettaglio o un manuale di istruzioni modello Ikea. purtroppo la norma va interpretata, molti dei riferimenti fatti in merito alle implementazioni IT ad esempio parlano di misure “adeguate” senza il dettaglio che vorresti vedere. Temo che questo significhi che tu hai una certa responsabilità implementativa che richiede anche di fare scelte consapevoli ed informate. Intendiamoci la cosa è voluta per rendere la norma attuabile ad un mondo tecnologico in continua evoluzione. Ma non pensare per un momento che questa indeterminatezza ti autorizzi ad usare sistemi operativi obsoleti tipo Windows Millenium o robe del genere, fallo e poi prova a dimostrare che hai messo in piedi misure “ragionevoli” di protezione.

  • Anche se sei piccolo devi seguire le regole

Non importa quale che sia la tua dimensione, le regole vanno seguite da tutti. Ognuno avrà l’obbligo di implementare le misure adatte in maniera “ragionevole” e confacente alle proprie possibilità. tradotto questo significa che non puoi fare finta di niente e relegare, ad esempio, l’it ad un retropensiero… sempio: i backup li devi fare e devono funzionare e lo devi poter provare…preparati.

  • Vale ‘inversione dell’onere della prova: sei colpevole fino a che non provi la tua innocenza

Ebbene secondo il GDPR sei tu che devi dimostrare di essere allineato ai dettami di legge. Il non essere in grado di farlo è già di per sé una ammissione di colpa. Chi ti viene a controllare (il garante in Italia? vedremo) ti chiede di dimostrargli che hai fatto le cose bene, non è li che deve cercare il fatto che non lo hai fatto. Questo è esplicitamente detto nel testo e più volte rinforzato come quando si specifica chiaramente che il rischio residuo se troppo grande deve essere concordato con l’autorità di riferimento.

  • Il rischio di cui ti devi preoccupare è al di fuori della azienda, questo cambia i parametri della valutazione.

Quando nel testo si parla di rischio deve essere chiaro che il rischio è che si danneggi la libertà dell’individuo a cui i dati sono correlati. in altre parole non devi valutare solo quanto sia facile che ti buchino la rete o ti rubino i faldoni con i dati, ma anche che può accedere se quei dati vengono usati male nei confronti del soggetto a cui sono riferiti.

  • Le multe non sono una per tutto, sono multe su punti specifici. E rimane poi il danno arrecato a terzi

qui mi sembra che molti non abbiano chiaro il fatto che la struttura delle multe del GDPR non ti garantisce di prenderne solo una che copra tutte le inadempienze. Rischi di beccartene piu di una se sei una multinazionale o se sei beccato con le mani nella marmellata in più aree… ed in ogni caso le multe fanno riferimento alla non attuazione della normativa, ma non coprono i danni procurati alle persone a cui i dati sono riferiti, e le eventuali cause civili eo penali associate.

  • I soggetti non sono solo i tuoi clienti

Il GDPR fa riferimento ai cittadini e residenti in UE. in questa categoria rientrano non solo i tuoi clienti,ma i tuoi contatti di marketing, i tuoi fornitori ed anche i tuoi dipendenti.

 

beh che dite abbiamo fatto abbastanza premesse? se si buona lettura:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

ciaooooo

a

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Guida al GDPR per chi non ne vuol sapere: e se provate a leggerlo il GDPR vi cala la palpebra? was originally published on The Puchi Herald Magazine

Advertisements

Guida al GDPR per chi non ne vuole sapere: devi iniziare, ma cosa devi fare?


Hai già realizzato che tra un anno dovrai essere conforme alle nuove leggi sulla privacy dettate dal GDPR?

Ok Ok ho capito

devi pensare di passare da il tuo:

“chissenfrega della privacy tanto non è una roba di business “

a

“ops se stavolta non faccio le cose per bene rischio una multa fino al 4% sul mio fatturato. maledetto @#][<> GDPR

 

e stai entrando in ansia.

a dire il vero non credo tu lo stia facendo, anzi credo che continui a dire la prima frase come un mantra, ma facciamo finta che tu ti sia reso conto che stai per andare a metterti un un fiume di rogne se non fai qualche cosa, il punto è cosa fare?

Vediamo se ti posso aiutare. Certo, vorrei poterti spiegare cosa sia il GDPR cosa significhi data privacy e data protection, ma siccome so che non sei interessto a capire il perchè ma solo il cosa cercherò di essere il piu elementare possibile.

Passo numero uno, ti serve un DPO

Che cavolo è un DPO?

Il DPO è il tizio che ti dovrebbe aiutare a gestire le richieste derivanti da questo signor GDPR che nessuno, al momento, ti ha ancora presentato ma che sembra sia ansioso di darti multe e prendere i tuoi soldi.

DPO in inglese sarebbe Data Protection Officer, che in italiano puoi tradurre come Responsabile della Protezione dei Dati: ma come non ti bastava dover prendere un IT manager (quando lo hai)?

Ora lo so che tu vorresti chiamare il tuo IT manager e dirgli,

fai te prendi uno dei tuoi e dagli sta sola AGGRATIS

ma, purtroppo, temo non funzioni così.

Il signor GDPR, un perfido europeo insensibile ai tuoi bisogni, ha imposto che questo DPO deve essere un ruolo che gode di una certa indipendenza, e addirittura sembra che l’orientamento sia quello di dire che questo signore è incompatibile col ruolo di IT manager (una ditta tedesca è gia stata sanzionata per questo, ma si sa i tedeschi sono pignoli).

Ti dirò di più un DPO deve avere garantita autonomia per darti le indicazioni su come implementare la conformità alle richieste del signor GDPR  ma tu mantieni la responsabilità delle scelte aziendali, come a dire

  • se lui ti dice di fare “A” e tu invece fai “B” il responsabile sei tu
  • se lui ti dice di fare “B” perché tu gli hai detto che vuoi cosi il responsabile sei tu
  • comunque io responsabile sei tu.

andiamo bene, già sono sicuro che la cosa non ti piace, se ti stava antipatico il signor GDPR ora immagino incominci a detestare anche questo signor DPO, chiunque esso sia.

Voglio essere sincero con te, in Italia si sta ancora discutendo cosa sia un DPO, c’è chi dice un giurista, c’è chi dice sia un informatico,io ti dico è un po di tutti e due… ma in caso sia un giurista specializzato ti costerà di più … sai bene che gli specialisti IT li prendi per un tozzo di pane dal cognato del fratello dell’amico del cognato del salumiere.

Il problema del DPO è che deve spiegarti (non lo invidio) cosa DEVI fare per mettere in sicuro i dati che gestisci e che possono essere soggetti al GDPR. ma questo richiede:

  1. di capire le leggi sulla privacy
  2. di capire come i sistemi di gestione dei dati sono implementati
  3. di capire come funzioni il tuo business
  4. di capire come proteggere i dati in funzione dei tuoi sistemi, del tuo business e delle leggi sulla privacy

Insomma, il DPO dovrebbe essere un manager di provata esperienza cosa che, da sola, è quasi insopportabile, e mettere il naso nelle tue cose.

ora hai diverse scelte:

  1. puoi usare un consulente esterno
  2. puoi assumere o specializzare una persona interna
  3. puoi fregartene (come stai facendo al momento) e rischiare allegramente la multa.

ovviamente i tre punti hanno pro e contro, se usi un esterno devi pagarlo ma puoi cambiarlo se on fa quello che vuoi tu, se usi un interno rischi che no possa fare il suo lavoro precedente, se te ne freghi beh, spera che non ti becchino.

E dopo che hai preso un DPO?

Ora supponiamo che alla fine ti sia messo una mano sul cuore ed una sul portafoglio ed hai scelto l’opzione 1 o 2 (escludo la 3)

che fare?

il primo step da seguire è mettere insieme tutte le teste pensanti della tua azienda, la gente IT ed il DPO e fare 2 cose:

  1. scoprire dove sono i dati soggetti al GDPR e come li gestisci
  2. effettuare una robaccia che si chiama PIA (Privacy Impact Assessment) che vuol dire, basicamente,

questi primi due passi sono importantissimi perchè, diciamocelo chiaro, tu non hai la minima idea di

  • cosa siano i dati,
  • dove siano,
  • come li usi,
  • a cosa ti servono,
  • come li raccogli,
  • come li gestisci ,

La cosa spaventosa è che di sicuro il signor GDPR obbligherà le aziende a farsi carico si una enorme quantità di dati da proteggere.

Cerco di essere chiaro: tutti i dati  che possono essere utilizzati per fare riferimento ad una persona che vive sono dati personali ai sensi GDPR:

  • ID,
  • cookie,
  • indirizzi IP,
  • indirizzi di posta elettronica,
  • ogni identificatore di dispositivo personale
  • i metadati senza identificatore che possono essere afferiti ad una persona
  • ….

Non sai di che parlo? SALLO!!!!

ok ok lo so non ne capisci nulla di sta roba, per questo ti dicono che devi usare un DPO che, in qualche modo, deve essere capace di parlare con te e i tuoi managers e spiegarVi le cose, con l’IT manager e spiegargli le cose, con chi si occupa di sicurezza …..

capire dove siano questi dati, cosa siano non è quindi elementare, ma almeno una volta che lo hai fatto puoi passare al secondo step, la PIA.

No la PIA non è la Paperon Intelligence Agency

Non devi aspettarti che Paperino venga in tuo soccorso. la PIA è uno strumento che ti aiuta a capire i rischi cui sei soggetto gestendo i dati che stai gestendo e che neanche sapevi che stavi gestendo.

la PIA ti serve per capire cosa si rischia e come si protegge. purtroppo la PIA richiede che il tuo DPO, l’IT manager e il responsabile della sicurezza siano in grado di fare queste valutazioni, il che significa, implicitamente, che il cognat del vicino del fratello del salumiere sotto casa a cui fai riferimento come “guru” economico per tutte le tue esigenze IT probabilmente non sarà abbastanza.

Insomma se la PIA alla fine ti dice che sei messo maluccio non ti stupire, anzi stupisciti se ti dice il contrario.

…. e finalmente puoi iniziare a lavorare

una volta che hai DPO, e PIA puoi finalmente iniziare a ragionare su cosa ti serve, aspettati parecchio lavoro in termini di:

  1. come gestisci i tuoi dati
  2. policy e procedure da implementare
  3. tecnologie e, scusa la parolaccia, roba IT che manca o va gestita davvero tipo: backups, databases, sicurezza …

la cosa cattiva è che dovrai lavorarci parecchio

la cosa buona è che potresti scoprire che gestire bene le cose alla fine può anche farti lavorare meglio, anche se probabilmente in maniera diversa da prima.

se vuoi ne parliamo, fammi sapere….

 

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Guida al GDPR per chi non ne vuole sapere: devi iniziare, ma cosa devi fare? was originally published on The Puchi Herald Magazine