GDPR e sanzioni: perché serve un consulente di sicurezza informatica?

azienda informatica consulenza per gdpr compliance

GDPR e sanzioni: perché serve un consulente di sicurezza informatica?

Sono passati ormai diversi anni dal momento in cui è entrato in vigore il Regolamento sulla tutela e sulla protezione dei dati personali, meglio conosciuto come GDPR 2016/679. Da allora, le aziende hanno avuto un lasso di tempo per adeguarsi alla normativa europea, nel pieno rispetto dell’accountability, concetto chiave del regolamento.

Dal 25 maggio del 2019, giorno in cui è scaduto il periodo di “tolleranza” per permettere alle aziende di adottare tutte le misure previste dalla nuova normativa e in cui le sanzioni sono state relativamente leggere, le Autorità Garanti hanno iniziato a svolgere una vera e propria attività di controllo, applicando multe salate per il mancato adeguamento al regolamento europeo.

Parliamo del 2% o del 4% del fatturato. Per chi non rispetta le norme del GDPR i rischi sono molto alti. Per questo motivo, avere a fianco un consulente di sicurezza informatica che abbia competenze in materia di GDPR e possa fornirti anche le soluzioni software (e non solo) più adatte per la protezione dei tuoi dispositivi diventa fondamentale per non incorrere in grattacapi di non facile risoluzione e, ancor peggio, in pesanti sanzioni.

In questo articolo, approfondiremo meglio la questione GDPR e sanzioni per aiutare te e la tua azienda a rispettare appieno la normativa.

 

Sommario dell’articolo:

GDPR e sanzioni: perché serve un consulente di sicurezza informatica?

Che cos’è il GDPR 2016/679: un po’ di storia

GDPR e sanzioni di natura amministrativa e penale: di cosa parliamo

Quando si viola il GDPR: attenzione ai rischi

GDPR e sanzioni “su misura”

GDPR e Cyber Security: l’escalation degli attacchi informatici

Come devono comportarsi le aziende in tema di GDPR

Elle Di Ufficio: la tua consulenza di sicurezza informatica a Milano

 

Che cos’è il GDPR 2016/679: un po’ di storia

Il GDPR 2016/679 (General Data Protection Regulation) rappresenta la principale normativa europea in materia di protezione dei dati personali.

Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, il Regolamento sulla tutela e sulla protezione dei dati personali è entrato in vigore il 24 maggio 2016. La sua attuazione si è realizzata però a distanza di due anni, quindi a partire dal 25 maggio 2018.

Trattandosi di un Regolamento, il GDPR 2016/679 è attuato allo stesso modo in tutti gli Stati membri dell’Unione Europa senza margini di libertà nell’adattamento, ad esclusione delle parti per cui è prevista in maniera esplicita la possibilità di deroga.

Il Regolamento sulla tutela e sulla protezione dei dati personali è nato con degli specifici obiettivi, ovvero:

  • mettere in atto una definitiva armonizzazione della normativa in materia di protezione dei dati personali all’interno del territorio dell’Unione europea;
  • supportare lo sviluppo del Mercato Unico Digitale europeo, attraverso una maggiore tutela dei dati così da alimentare la fiducia dei cittadini nei confronti dei servizi digitali;
  • rispondere alle sfide derivanti dalla progressiva affermazione delle nuove tecnologie digitali.

GDPR e sanzioni di natura amministrativa e penale: di cosa parliamo

È innanzitutto importante fare una premessa. Le violazioni del Regolamento sulla tutela e sulla protezione dei dati personali prevedono sanzioni sia di natura amministrativa che penale, ma c’è una differenza.

Nonostante la normativa europea includa anche le sanzioni sulle violazioni in materia di privacy, disciplinate dagli articoli 83 e 84 del GPDR, si parla sempre di sanzioni di natura amministrativa, non penali.

Secondo l’articolo 84 del GDPR 2016/679, le sanzioni penali fanno sempre riferimento alla normativa del Codice della Privacy stabilita da ogni Stato membro. In Italia, in particolare, si fa riferimento al Codice della Privacy del 2003, che prevede dure sanzioni penali in caso di trattamento, diffusione, acquisizione fraudolenta dei dati personali e inosservanza dei provvedimenti stabiliti dal Garante della privacy.

Una volta precisato quanto si stabilisce rispetto alle sanzioni penali e a quelle amministrative, andiamo oltre. Quali sono, nello specifico, le violazioni sanzionabili?

Quando si viola il GDPR: attenzione ai rischi

Le sanzioni previste dal GDPR per le attività commerciali possono raggiungere importi pari a 20 milioni di euro o fino al 4% del fatturato dell’esercizio precedente, se superiore. I provvedimenti si applicano anche alle Associazioni, ai Partiti o alle Pubbliche Amministrazioni. È inoltre importante sapere che i controlli e le sanzioni non risparmiano neppure chi si occupa di Marketing e profilazione e, quindi, anche le aziende che trattano quotidianamente dati personali.

Qualsiasi azienda digitalizzata, che gestisca attraverso strumenti informatici dati personali e sensibili perciò, deve prestare la massima attenzione al regolamento, applicare le norme e proteggere questi dati da qualsiasi rischio.

Oggi, non si tratta più soltanto di violazione delle norme, ma anche di mancata applicazione delle misure preventive per abbattere il livello di rischio e per tutelare i dati dei clienti o dei consumatori. Il titolare del trattamento dei dati, che spesso coincide con il titolare dell’azienda stessa, ha la piena “responsabilità” di mettere al riparo i propri clienti e/o consumatori da tutti i rischi possibili.

Quando si parla di GDPR e sanzioni, infatti, si fa riferimento proprio al concetto di accountability (responsabilizzazione) e ogni azienda deve fare il possibile per raggiungerla e metterla in atto.

Dal canto loro, le Autorità Garanti di ogni Stato membro applicano un principio, quello del Risk Based Approach, rispondendo con dure sanzioni nei confronti del titolare del trattamento dei dati che non individua “le misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende”.

regolamento sulla tutela e sulla protezione dei dati personali

·       Quali sono le aree di rischio secondo il GDPR?

Tenendo conto del concetto di Risk Based Approach, il GDPR individua i principali rischi che le aziende devono valutare per poter applicare tutte le misure tecniche e organizzative in materia di protezione dei dati.

In breve, si deve tener conto dei rischi:

  • strategici;
  • operativi;
  • per la continuità dell’attività aziendale;
  • di mancata compliance, ovvero la conformità alle regole stabilite dal GDPR.

·       Livello di rischio a cui sono esposti i dati aziendali

Uno dei rischi più comuni a cui va incontro l’azienda si trova nella distruzione o nella cancellazione del dato, fatta deliberatamente o meno. Un simile caso si può ad esempio verificare quando si procede inavvertitamente o meno alla cancellazione nei sistemi informatici dell’unico file in cui il dato è conservato.

Altra possibilità da tenere in considerazione nell’analisi dei rischi è quella relativa all’indisponibilità del dato, circostanza che può aver luogo quando un’azienda è vittima di un Cryptolocker. Si tratta nello specifico di un malware capace di infettare i sistemi Windows, riuscendo a criptare tutti i dati della vittima. In un simile contesto l’impresa si trova così a non poter accedere ai propri documenti che risultano bloccati dal malware.

Una corretta analisi dei rischi finalizzata alla messa in sicurezza dei sistemi informatici deve inoltre tenere in considerazione la possibilità che si verifichi:

  • una vera e propria perdita del dato, che può accadere a seguito della rottura di un supporto di storage o di un furto del computer in dotazione a un dipendente;
  • una compromissione completa del gestionale dell’impresa, che rende accessibili tutti i dati personali salvati ai cyber criminali;
  • una divulgazione di un dato riservato.

·       Sicurezza dei sistemi informatici e rischio privacy

Tra quelli precedentemente elencati un tipo di rischio, estremamente importante per le aziende che trattano quotidianamente dati personali, è il rischio privacy. In questo caso, il titolare e responsabile del trattamento potrà essere sanzionato per:

  • distruzione o perdita dei dati, anche se involontaria;
  • accesso non autorizzato di terzi ai sistemi informatici e quindi ai dati personali;
  • modifica dei dati personali determinati da interventi non autorizzati o non conformi alle regole del GDPR;
  • irraggiungibilità dei dati personali per un lungo periodo;
  • trattamento dei dati personali non conforme alle finalità indicate nell’informativa sulla privacy rilasciata a chiunque la sottoscriva.

·       Quali sono le altre violazioni sanzionabili secondo il GDPR?

Abbiamo visto i rischi e le violazioni relative al rischio privacy, ma quali sono le ulteriori mancanze da parte del titolare del trattamento dei dati che determinano l’applicazione delle sanzioni amministrative?

I titolari del trattamento dei dati, ritenuti anche responsabili della protezione dei dati e della tutela degli stessi da qualsiasi rischio, devono prestare la massima attenzione anche a:

  • violazioni delle condizioni applicabili al consenso dei minori relativamente ai servizi della società dell’informazione;
  • trattamento illecito dei dati personali che non richieda esplicitamente all’interessato di essere identificato;
  • mancata o errata notifica o comunicazione di un data breach (violazione dei dati personali) all’Autorità nazionale competente;
  • mancata nomina del DPO (Data Protection Officer), figura di supervisore indipendente che deve essere obbligatoriamente designato dall’azienda;
  • mancata applicazione delle misure di sicurezza previste dal GDPR.

Come abbiamo anticipato, l’importo delle sanzioni può raggiungere i 20 milioni di euro o coprire fino al 4% del fatturato di ogni impresa, in particolare se l’azienda si dimostra refrattaria nei confronti di un ordine, di una limitazione relativa al trattamento, dopo una notifica da parte dell’Autorità competente.

Inoltre, è ritenuto altamente sanzionabile il trasferimento illecito dei dati personali a un destinatario che risiede in un Paese terzo.

GDPR e sanzioni “su misura”

Secondo il principio dell’accountability, ovvero della responsabilità da parte di titolari e responsabili del trattamento dei dati, questi sono tenuti a mettere in atto tutte le misure adeguate, oltre a dimostrare l’efficacia delle misure e della conformità al regolamento.

Eppure, c’è stato un cambiamento relativamente alla valutazione delle misure in materia di privacy. Mentre il più vecchio D.lgs. 196/2003 del GDPR poneva l’accento sull’applicazione delle “misure minime di sicurezza”, il nuovo regolamento parla di “misure adeguate”. Questo significa, in sostanza, che ogni titolare del trattamento dei dati sarà tenuto a verificare le misure corrette da applicare, ma le Autorità di controllo effettueranno una valutazione applicando un approccio “su misura” per ogni singolo caso.

GDPR e sanzioni

GDPR e Cyber Security: l’escalation degli attacchi informatici

In osservanza al principio di accountability, il titolare del trattamento dei dati all’interno di una impresa deve essere capace di testimoniare, di documentare e di governare tutto il processo della Data Protection. Entra allora in gioco il concetto di Cyber Security e di livello di sicurezza IT.

Siamo ormai consapevoli del fatto che gli attacchi informatici stiano conoscendo una escalation progressiva, ulteriormente accresciuta a seguito dello scoppio della pandemia di Covid-19. Secondo l’ultimo Rapporto Clusit, nell’anno dell’emergenza sanitaria si sono registrati ben 1.871 attacchi gravi di dominio pubblico, con un incremento del 12% rispetto al 2019. In aumento sono risultati in particolar modo gli episodi di Cyber spionaggio.

Di fronte all’esplosione del Cybercrime e di un crescente utilizzo degli strumenti digitali anche al di fuori del perimetro più strettamente aziendale – si pensi a tale proposito alla crescente diffusione dello Smart Working – risulta perciò evidente come le imprese siano chiamate in prima linea a rivedere oltre che a ottimizzare le rispettive misure di sicurezza.

Un compito che, ricordiamo, è in costante divenire. Accrescere il livello di sicurezza e la protezione dei dati si configura difatti come un processo fortemente dinamico che deve tenere conto di nuove strategie nonché dei nuovi strumenti tecnologici disponibili per la protezione Web e per l’intero comparto IT.

Di qui si intuisce l’importanza per un’impresa, a prescindere dalle sue dimensioni e dal tipo di attività svolta, di poter contare su un consulente di sicurezza informatica. Un simile professionista è del resto l’unico a poter avere una visione a trecentosessanta gradi sul livello di rischio in cui incorre una azienda sotto il profilo delle tecnologie IT.

Compito del consulente è quello di analizzare lo stato dei sistemi informatici dell’impresa, mantenendoli protetti da possibili cyber attacchi esterni e interni, proteggendo così i dati custoditi in pieno accordo con la normativa GDPR e ottimizzando le misure di sicurezza adottabili nel loro complesso.

Giunti a questo punto ci resta solo da scoprire come devono comportarsi le aziende in tema di GDPR.

Come devono comportarsi le aziende in tema di GDPR

Ogni azienda è obbligata ad adeguarsi alla nuova normativa GDPR, prestando particolare attenzione ai rischi sulla privacy e al trattamento dei dati personali dei propri clienti.

I rischi, purtroppo, sono all’ordine del giorno. In particolare, è utilizzando strumenti digitali e informatici, o gestendo informazioni e dati personali attraverso sistemi in Cloud e/o in rete, che il livello di rischio aumenta ulteriormente.

Da una parte, quindi, è importante applicare le misure adeguate in materia di protezione dei dati personali, dall’altra è fondamentale mettere in sicurezza i dati attraverso i giusti strumenti e software dedicati.

Elle Di Ufficio è specializzata in consulenza informatica su Milano, provincia, Lombardia e zone limitrofe. Il nostro obiettivo è supportare le aziende, guidarle verso una corretta gestione dei dati personali e aiutarle ad adeguarsi al meglio al GDPR per evitare sanzioni significative.

Elle Di Ufficio: la tua consulenza di sicurezza informatica a Milano

L’adeguamento alle norme del GDPR, in vigore da maggio 2018, rappresenta la base per ogni tipo di operazione informatica, soprattutto per le aziende fortemente digitalizzate.

In materia di GDPR e sanzioni, avere al tuo fianco un consulente di sicurezza informatica può davvero fare la differenza.

Oltre a garantirti un supporto costante per l’applicazione delle misure preventive più efficaci per evitare i rischi relativi al trattamento dei dati, possiamo offrirti gli strumenti più aggiornati per mettere in sicurezza i dati della tua azienda.

Grazie alla nostra consulenza, potrai svolgere la tua attività nel totale rispetto delle normative in vigore. Per ulteriori informazioni, contattaci.

Elle di Ufficio

Elle Di Ufficio è un’azienda con esperienza trentennale nel campo della fornitura di servizi e apparecchiature per l’ufficio come computer, stampanti, centralini, mobili. Nasce nel 1987 dall’unione di Office Automation e Information Technology e ha sede nella provincia di Milano

Contatti

Largo Brugnatelli 5/3 20090 Buccinasco (MI)

Telefono 02 45712919
Email info@ellediufficio.it

Orari
Lun - Ven 08:30 - 18:00