Non esiste un piano di conformità al GDPR valido per tutti, ma ci sono alcune linee guida fondamentali che le organizzazioni possono utilizzare per indirizzare gli sforzi di implementazione del GDPR.
Per un elenco dei principali requisiti del GDPR, consultare la lista di controllo per la conformità al GDPR.
Inventario dei dati personali
Sebbene il GDPR non richieda esplicitamente un inventario dei dati, molte organizzazioni partono da questo aspetto per due motivi. In primo luogo, sapere di quali dati dispone l'azienda e come vengono elaborati aiuta l'organizzazione a comprendere meglio i propri oneri di conformità. Ad esempio, un'azienda che raccoglie dati sullo stato di salute degli utenti ha bisogno di protezioni più forti rispetto a un'azienda che raccoglie solo indirizzi e-mail.
In secondo luogo, un inventario completo rende più facile soddisfare le richieste degli utenti di condividere, aggiornare o cancellare i loro dati.
Un inventario dei dati può registrare dettagli come:
- Tipi di dati raccolti (nomi utente, dati di navigazione);
- Popolazioni di dati (clienti, dipendenti, studenti)
- Come vengono raccolti i dati (iscrizioni agli eventi, pagine di destinazione);
- Dove vengono memorizzati i dati (server on-premise, servizi cloud);
- Scopo della raccolta dati (campagne di marketing, analisi comportamentale);
- Modalità di elaborazione dei dati (punteggio automatizzato, aggregazione);
- Chi ha accesso ai dati (dipendenti, fornitori);
- Misure di sicurezza esistenti (crittografia, autenticazione a più fattori)
Rintracciare i dati personali sparsi nella rete dell'organizzazione in vari workflow, database, endpoint e persino asset shadow IT può essere difficile. Per rendere gli inventari dei dati più gestibili, le organizzazioni possono prendere in considerazione l'utilizzo di soluzioni di protezione dei dati che rilevano e classificano automaticamente i dati.
Scopri in che modo IBM Guardium® Data Protection rileva, classifica e protegge automaticamente i dati sensibili nei principali repository come AWS, DBaaS e mainframe on-premise.
Identificazione e protezione dei dati di categorie speciali
Nell'inventario dei dati, le organizzazioni dovrebbero tenere in considerazione di tutti i dati particolarmente sensibili che richiedono una protezione extra. Il GDPR impone ulteriori precauzioni per tre tipi di dati, in particolare: i dati di categorie speciali, quelli sulle condanne penali e quelli sui minori.
- I dati di categorie speciali includono quelli biometrici, le cartelle cliniche, la razza, l'etnia e altre informazioni altamente personali. Le organizzazioni di solito hanno bisogno del consenso esplicito di un utente per elaborare i dati di categorie speciali.
- I dati sulle condanne penali possono essere controllati solo dalle autorità pubbliche e trattati su loro indicazione.
- I dati relativi ai bambini non possono essere elaborati senza il consenso dei genitori e le organizzazioni devono adottare delle procedure per verificare l'età degli interessati e l'identità dei loro genitori. Ogni stato del SEE stabilisce la propria definizione di "bambino" ai sensi del GDPR. I limiti vanno da meno di 13 a meno di 16 anni. Le aziende devono essere pronte a osservare queste diverse definizioni.
Attività di audit del trattamento dei dati
Durante l'inventario dei dati, le organizzazioni registrano tutte le operazioni di trattamento a cui vengono sottoposti i dati. Quindi, le organizzazioni devono assicurarsi che queste operazioni siano conformi alle regole di trattamento del GDPR. Alcuni dei principi GDPR più importanti prevedono:
- Tutti i trattamenti devono avere una base giuridica consolidata: il trattamento dei dati è accettabile solo se l'organizzazione dispone di una base legale approvata per tale trattamento. Le basi giuridiche comuni includono l'ottenimento del consenso dell'utente, il trattamento dei dati per l'esecuzione di un contratto con l'utente e il trattamento dei dati per l'interesse pubblico. Le organizzazioni devono documentare la base legale per ogni operazione di trattamento prima di iniziare.
Per un elenco completo delle basi giuridiche approvate, consultare la pagina sulla conformità al GDPR.
- Limitazione delle finalità: i dati devono essere raccolti e utilizzati per uno scopo specificamente definito.
- Minimizzazione dei dati: le organizzazioni devono raccogliere la quantità minima di dati necessari allo scopo specificato.
- Accuratezza: le organizzazioni devono assicurarsi che i dati raccolti siano corretti e aggiornati.
- Limitazione dell'archiviazione: le organizzazioni devono eliminare in modo sicuro i dati non appena il loro scopo è raggiunto.
Per un elenco completo dei principi di trattamento previsti dal GDPR, consultare la lista di controllo per la conformità al GDPR.
Aggiornamento dei moduli di consenso dell'utente
Il consenso dell'utente è una base giuridica comune per il trattamento. Tuttavia, il consenso è valido solo ai sensi del GDPR se è informato, affermativo e liberamente concesso. Le organizzazioni potrebbero dover aggiornare i moduli di consenso per soddisfare tali requisiti.
- Per garantire che il consenso sia informato, l'organizzazione dovrebbe spiegare chiaramente cosa raccoglie e l'utilizzo che ne farà al momento della raccolta dei dati.
- Per assicurarsi che il consenso sia affermativo, le organizzazioni dovrebbero adottare un approccio opt-in, in cui gli utenti devono selezionare attivamente una casella o firmare una dichiarazione per indicare il consenso. I consensi possono essere raggruppati. Gli utenti devono fornire il consenso per ogni singola attività di trattamento.
- Per garantire che il consenso sia libero, le organizzazioni possono richiedere il consenso solo per le attività di trattamento dei dati che sono realmente parte integrante di un servizio. In altre parole, un'azienda non può costringere gli utenti a rivelare le proprie opinioni politiche per l'acquisto di una maglietta. Gli utenti devono essere in grado di revocare il consenso in qualsiasi momento.
Creazione di un sistema di conservazione delle informazioni
Le organizzazioni con più di 250 dipendenti e le aziende di qualsiasi dimensione che trattano regolarmente dati o gestiscono dati ad alto rischio, devono conservare la documentazione elettronica delle loro attività di trattamento.
In generale, tutte le organizzazioni farebbero bene a conservare tale documentazione. Questo non solo aiuta a tenere traccia degli sforzi in materia di privacy e sicurezza, ma può anche dimostrare la conformità in caso di audit o violazione. Le aziende possono ridurre o evitare le sanzioni se riescono a dimostrare di aver compiuto uno sforzo in buona fede per conformarsi.
I titolari del trattamento dei dati dovrebbero tenere documentazioni particolarmente affidabili, poiché il GDPR li considera responsabili della conformità dei loro partner e fornitori.
Designazione dei responsabili della conformità al GDPR
Tutte le autorità pubbliche e tutte le organizzazioni che trattano regolarmente dati di categorie speciali o monitorano soggetti su larga scala devono nominare un responsabile della protezione dei dati (DPO). Un DPO è un funzionario aziendale indipendente responsabile della conformità al GDPR. Le responsabilità comuni includono la supervisione delle valutazioni dei rischi, la formazione dei dipendenti sui principi di protezione dei dati e la collaborazione con le autorità governative.
Sebbene solo alcune organizzazioni siano tenute a nominare i DPO, tutti potrebbero prendere in considerazione l'idea di farlo. Avere un responsabile designato per la conformità al GDPR può aiutare a semplificare l'implementazione.
I DPO possono essere dipendenti di un'azienda o consulenti esterni che offrono i loro servizi su contratto. I DPO devono riferire direttamente al livello dirigenziale più alto. L'azienda non può rivalersi contro un DPO per aver svolto le proprie funzioni.
Le organizzazioni al di fuori dello Spazio Economico Europeo devono designare un rappresentante all'interno di quest'ultimo nel caso in cui trattino regolarmente i dati dei residenti del SEE o dati particolarmente sensibili. Il compito principale del rappresentante del SEE è coordinarsi con le autorità di protezione dei dati per conto dell'azienda durante le indagini. Il rappresentante può essere un dipendente, una società affiliata o un consulente a contratto.
Il DPO e il rappresentante del SEE hanno ruoli diversi con responsabilità diverse. In particolare, il rappresentante agisce su indicazione dell'organizzazione, mentre il DPO deve essere un funzionario indipendente. Un'organizzazione non può nominare una parte (link esterno a ibm.com) che svolga le funzioni sia di DPO che di rappresentante del SEE.
Se un'organizzazione opera in più stati del SEE, deve identificare un'autorità di controllo capofila. L'autorità di controllo capofila è la principale autorità per la protezione dei dati (DPA) che sovrintende alla conformità al GDPR per quell'azienda in tutta Europa.
In genere, l'autorità di controllo capofila è il DPA nello Stato membro in cui l'organizzazione ha la sede o svolge le sue attività di trattamento principali.
Stesura di un'informativa sulla privacy dei dati
Il GDPR richiede che le organizzazioni informino le persone su come utilizzano i propri dati. Le aziende possono soddisfare questo requisito redigendo delle informative sulla privacy che descrivano chiaramente le loro operazioni di trattamento, inclusi ciò che l'azienda raccoglie, le politiche di conservazione e cancellazione, i diritti degli utenti e altri dettagli pertinenti.
Le informative sulla privacy dovrebbero essere redatte in un linguaggio semplice e comprensibile a tutti. Nascondere informazioni importanti dietro un gergo complesso può rappresentare una violazione del GDPR. Le organizzazioni possono garantire che gli utenti siano a conoscenza delle proprie informative sulla privacy condividendole al momento della raccolta dei dati. Le organizzazioni possono anche rendere disponibili le proprie informative sulla privacy attraverso pagine pubbliche e facili da reperire sui propri siti web.
Accertamento della conformità dei partner di terze parti
I titolari del trattamento sono in ultima analisi garanti dei dati personali che raccolgono, incluso il modo in cui i responsabili, fornitori e altre terze parti li utilizzano. Se i partner non rispettano le regole, i titolari possono essere sanzionati.
Le organizzazioni dovrebbero rivedere i contratti con eventuali terze parti che hanno accesso ai loro dati. Questi contratti dovrebbero indicare chiaramente i diritti e le responsabilità di tutte le parti in relazione al GDPR in modo giuridicamente vincolante.
Se un'organizzazione lavora con responsabili del trattamento al di fuori del SEE, tali responsabili devono comunque soddisfare i requisiti del GDPR. Infatti, i trasferimenti di dati al di fuori del SEE sono soggetti a standard rigorosi. I titolari del trattamento nel SEE possono condividere i dati con i responsabili del trattamento al di fuori del SEE solo se risulta soddisfatto uno dei seguenti criteri:
- La Commissione Europea ha ritenuto adeguate le leggi sulla privacy del Paese.
- La Commissione europea ha ritenuto che il responsabile del trattamento dispone di una protezione dei dati sufficiente.
- Il titolare del trattamento ha adottato misure per garantire la protezione dei dati.
Un modo per garantire che tutte le partnership e i trasferimenti di dati siano conformi al GDPR è l'utilizzo di clausole contrattuali standard. Queste clausole pre-scritte sono state preapprovate dalla Commissione Europea e sono disponibili gratuitamente per l'utilizzo da parte di qualsiasi organizzazione. L'inserimento di queste clausole rende il contratto conforme al GDPR, a condizione che ciascuna parte le rispetti. Per ulteriori informazioni sulle clausole contrattuali standard, consultare il sito web della Commissione Europea (link esterno a ibm.com).
Crea un processo per le valutazioni d'impatto della protezione dei dati
Il GDPR richiede alle organizzazioni di effettuare valutazioni d'impatto sulla protezione dei dati (DPIA) prima di qualsiasi trattamento ad alto rischio. Sebbene il GDPR offra alcuni esempi, come l'utilizzo di nuove tecnologie e il trattamento su larga scala di dati sensibili, non elenca in modo esaustivo tutte le attività ad alto rischio.
Come forma di sicurezza, le organizzazioni possono prendere in considerazione la possibilità di condurre una DPIA prima di qualsiasi nuova operazione di trattamento. Altre possono utilizzare uno screening preliminare semplificato per determinare se il rischio è sufficientemente elevato da giustificare una DPIA.
Come minimo, una DPIA deve descrivere il trattamento e la sua finalità, valutare la necessità del trattamento, valutare i rischi per gli interessati e identificare le misure di mitigazione. Se il rischio rimane elevato dopo la mitigazione, l'organizzazione deve consultare un'autorità per la protezione dei dati prima di procedere.
Scopri come IBM Guardium Insights può aiutare a semplificare i report di conformità con workflow preconfigurati per GDPR, CCPA e altre normative chiave.
Implementazione di un piano di risposta alla violazione dei dati
Le organizzazioni devono segnalare la maggior parte delle violazioni dei dati personali a un'autorità di controllo entro 72 ore. Se la violazione (ad esempio il furto di identità) rappresenta un rischio per gli interessati, l'azienda è inoltre tenuta a informare i soggetti. Le notifiche devono essere inviate direttamente alle vittime, a meno che questo non sia impossibile. In tal caso, è sufficiente un avviso pubblico.
Le organizzazioni hanno bisogno di efficaci piani di risposta agli incidenti che identifichino rapidamente le violazioni in corso, eliminino le minacce e informino le autorità. I piani di risposta agli incidenti dovrebbero includere strumenti e strategie per ripristinare i sistemi e la sicurezza delle informazioni. Più velocemente un'organizzazione riprende il controllo, meno è probabile che subisca gravi interventi normativi.
Le organizzazioni possono anche cogliere questa come un'opportunità per rafforzare le misure di sicurezza dei dati . Se è improbabile che una violazione danneggi gli utenti, ad esempio se i dati rubati sono così tanto criptati che gli hacker non possono utilizzarli, l'azienda non ha bisogno di notificare gli interessati. Questo può aiutare a evitare i danni alla reputazione e ai ricavi che possono derivare da una violazione dei dati.
Facilitazione dell'esercizio dei diritti da parte degli interessati
Il GDPR concede agli interessati il diritto di decidere il modo di utilizzo dei proprio dati da parte delle organizzazioni. Ad esempio, il diritto di rettifica consente agli utenti di correggere dati inesatti oppure obsoleti. Il diritto alla cancellazione consente agli utenti di eliminare i propri dati.
In linea di massima, le organizzazioni devono adempiere alle richieste degli interessati entro 30 giorni. Per rendere le richieste più gestibili, le organizzazioni possono creare portali self-service in cui gli interessati possono accedere ai propri dati, apportare modifiche e limitarne l'utilizzo. I portali dovrebbero includere un modo per verificare l'identità dei soggetti. Il GDPR impone alle organizzazioni l'onere di verificare che i richiedenti siano effettivamente chi dichiarano di essere.
Decisioni automatizzate e profilazione
Gli interessati godono di diritti speciali in relazione al trattamento automatizzato. In particolare, le organizzazioni non possono utilizzare l'automazione per prendere decisioni significative senza il consenso dell'utente. Gli utenti hanno il diritto di contestare le decisioni automatizzate e richiedere che un essere umano riveda la decisione.
Le organizzazioni possono utilizzare portali self-service per offrire agli interessati un modo per contestare le decisioni automatizzate. Le aziende devono inoltre essere pronte a nominare revisori umani, se necessario.
Portabilità dei dati
I soggetti interessati hanno il diritto di trasferire i propri dati ovunque desiderino, ed è compito delle organizzazioni facilitare tali trasferimenti.
Oltre a facilitare la richiesta di trasferimenti da parte degli utenti, le organizzazioni devono memorizzare i dati in un formato condivisibile. L'utilizzo di formati proprietari può rendere difficili i trasferimenti e ostacolare i diritti degli utenti.
Per un elenco completo dei diritti degli interessati, consultare la pagina sulla conformità al GDPR.
Implementazione delle misure di sicurezza delle informazioni
Il GDPR richiede che le organizzazioni utilizzino misure ragionevoli di protezione dei dati per chiudere le vulnerabilità del sistema e prevenire accessi non autorizzati o usi illegali. Il GDPR non impone misure specifiche, ma afferma che le organizzazioni devono adottare controlli sia tecnici che organizzativi.
I controlli di sicurezza tecnica includono software, hardware e altri strumenti tecnologici, come SIEM e soluzioni per la prevenzione della perdita di dati. Il GDPR incoraggia fortemente la crittografia e la pseudonimizzazione, pertanto le organizzazioni farebbero bene a implementare questi controlli in particolare.
Le misure organizzative includono processi come la formazione dei dipendenti sulle regole del GDPR e l'implementazione di politiche formali di governance dei dati.
Il GDPR, inoltre, impone alle aziende di adottare il principio della protezione dei dati fin dalla progettazione e per impostazione predefinita. "Fin dalla progettazione" significa che le aziende dovrebbero integrare la privacy dei dati nei sistemi e nei processi fin dall'inizio. "Per impostazione predefinita" significa che l'impostazione predefinita per qualsiasi sistema dovrebbe essere quella che assicura la massima privacy dell'utente.
Scopri come le soluzioni IBM per la sicurezza e la protezione dei dati garantiscono i dati negli hybrid cloud e semplificano i requisiti di conformità.
