GDPR e aziende informatiche devono fare un po’ pace e chiarirsi reciprocamente. È importante da un lato per proteggere i propri clienti non rischiare di perderli in modo imprudente, ma anche per proteggere la propria azienda non rischiando di non avere un DPO quando invece è necessario averlo.
GDPR e aziende informatiche, un rapporto complesso e viziato da una serie di misunderstanding di fondo che rende complicata la situazione.
Sono almeno tre i profili sotto i quali si sono create delle interpretazioni fantasiose della normativa. Vediamole insieme.
Responsabile del trattamento (art.28)
Iniziamo col dire chiaramente che le aziende che offrono servizi informatici, che siano assistenza tecnica o altro, entrano in contatto o potenzialmente possono farlo, con i dati dei clienti. Iniziamo a porre un punto fermo. Agiscono per conto del loro cliente, trattano dati per conto di quello che è pertanto il Titolare del trattamento dei dati personali. Questo li rende ai sensi dell’articolo 28 paragrafo 1 del GDPR Responsabili del trattamento.
Qui si apre un tema di discussione mastodontico, convincere queste aziende (a meno che non siano enormi) a fornire informazioni circa la loro compliance sul GDPR è impresa titanica che spesso porta i Titolari a rinunciare, spesso non tenendo in considerazione che rischiano sanzioni per incauta nomina o per omessa vigilanza. Insomma il Titolare deve nominare con cautela i propri responsabili ed essere certo che non stiano eludendo le richieste del Regolamento.
Chi offre servizi informatici spesso ha accesso in modo anche solo potenziale ai dati personali, questo non lo rende di meno un responsabile del trattamento. Non lo esime da una serie di obblighi nei confronti dei suoi molti titolari del trattamento.
Certo, questo comporta non poche complicazioni. Immaginiamo chi offre assistenza informatica e si vede arrivare mille nomine a responsabile tutte differenti. Un vero delirio. Motivo per il quale occorre che le aziende di questo genere sappiano come affrontare queste criticità, siano formate a usare anche gli strumenti contrattuali a loro disposizione che ahimè spesso sono carenti.
Amministratore di Sistema (provv. 27 nov. 2008)
Il dibattito su questo punto diventa rovente. Ho assistito a più di un moto di ripulsa da parte di più aziende che forniscono servizi di assistenza tecnica. Eppure il provvedimento del Garante per la protezione dei dati personali parla chiaro (sebbene di molto svuotato di significato dal GDPR stesso). Ma di fatto è ancora in vigore e dice chiaro e tondo che
si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Dal mio punto di vista questa semplice definizione chiuderebbe la discussione, essendo talmente ampia da includere praticamente chiunque offra un servizio informatico minimamente evoluto. Nonostante questo, le aziende troppo spesso rifiutano la nomina – cui il titolare è obbligato dal provvedimento del Garante – ponendo in seria difficoltà i loro clienti.
Ma questa nomina cosa implica? intanto che non posso prendere un ragazzino inesperto e nominarlo AdS, perché:”
L´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell´esperienza, della capacità e dell´affidabilità del soggetto designato
Qui è il titolare a trovarsi in difficoltà, le nomine oltretutto sono fatte non all’impresa ma alla singola persona che fisicamente mette le mani sui sistemi informatici. Ed ecco quindi che molti piccoli si sfilano non firmando contratti e mantenendo un rapporto di tipo occasionale con il cliente.
L’audit dell’AdS
La nomina ad Amministratore di Sistema non pone gravami su chi la riceve in quanto come poco sopra accennavamo è il regolamento ad avere la parte del leone e quindi il tecnico nominato AdS verrà sempre dopo l’azienda per la quale lavora nominata Responsabile. L’AdS continuerà a fare il suo solito lavoro. Verrà annualmente controllata la qualità del suo operato. L’Audit in merito andrà a controllare una serie di aspetti tra i quali ad esempio:
- Come è impostato il sistema di controllo sulle credenziali di autenticazione da parte degli incaricati.
- È presente un sistema per la registrazione degli accessi logici.
- Verificare la configurazione dei sistemi relativamente a chi e come può accedere ai log, con quali permessi e se può modificarli.
- Sono presenti le istruzioni impartite agli incaricati per la custodia della segretezza delle credenziali.
- È presente la policy sulla sicurezza, sulle regole d’inserimento e reset delle password.
- È presente la procedura che descriva il processo di assegnazione e revoca delle utenze.
- Sono presenti istruzioni per la custodia delle copie delle credenziali.
- È presente l’elenco dei AdS e la corrispondenza con le utenze di power user sui vari sistemi.
- Verificare che gli AdS abbiano tutte le informazioni per configurare i sistemi.
- Verificare che gli AdS abbiano gli strumenti idonei alla cancellazione sicura dei supporti rimovibili su cui sono memorizzati dati.
- E’ presente la procedura di notifica di violazione dei dati personali (data breach policy)
- Sono presenti procedure di back-up, disaster recovery e business continuity.
- Se l’attività di AdS è affidata in outsourcing verificare che nella nomina di Responsabile Esterno siano indicate e garantite le misure di sicurezza.
Data Protection Officer (art. 37)
Il Garante a suo tempo è stato chiaro. Nelle FAQ sul Responsabile per la protezione dei dati personali ha scritto che sono obbligate alla nomina le
società che forniscono servizi informatici
Capisco sia una definizione vaga. Tuttavia, tendo a una sua interpretazione ampia. Per quale ragione? Semplicemente perché assai probabile che un’azienda di questo genere (lo so avendoci lavorato dal 2005 al 2018) entri in contatto con una tale quantità di dati personali da rendere necessario nominare il DPO. Soprattutto, immagino un tecnico informatico, può anche involontariamente vedere dati personali, addirittura di appartenenti alla categorie particolari ex articolo 9 e 10.
Qui invece dovrebbero essere le aziende informatiche a proteggere se stesse, molto spesso hanno a che fare con dati su larga scala, non avere un DPO in questi casi è sicuramente un problema molto serio e foriero di potenziali magagne.
Se avete dubbi in materia contattateci e affrontiamo la tematica assieme.
