A partire dal 25 maggio 2018 il GDPR, ha cambiato le normative nazionali in materia di privacy, andando a modificare la gestione del trattamento dei dati personali da parte di aziende ed enti pubblici.

Quali sono i nuovo obblighi e le responsabilità?

Con la GDPR 2018 cambia l’informativa obbligatoria per il trattamento dei dati personali, quest’ultima dovrà contenere:

  • Periodo della conservazione dei dati
  • Intenzione del titolare al tipo di trattamento dei dati e al loro trasferimento verso un terzo paese o un’organizzazione internazionale
  • Diritto dell’interessato a proporre un reclamo a un’autorità di controllo
  • Esistenza di un processo automatizzato decisionale
  • Diritto di oblio

Molto importante è anche il nuovo regolamento in materia di Data Breach, che estende a tutti i Titolari e Responsabili l’obbligo di comunicare al Garante le avvenute violazioni dei dati personali entro 72 ore.

E' stato regolamentato anche il “diritto all’oblio” che consiste nella cancellazione immediata dei dati personali qualora l'interessato lo richieda.

Privacy by design

Una organizzazione, prima di impiegare o sviluppare un applicativo software per trattare dati personali dovrà verificare che esso sia conforme ai requisiti stabiliti dal Regolamento UE 679/2016, ovvero che presenti caratteristiche di:

  • sicurezza adeguate per mantenere protetti i dati personali,
  • gestione della pseudonomizzazione dei dati personali,
  • Cryptatura ove necessario.

Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Tale obbligo vale per

  1. la quantità dei dati personali raccolti,
  2. la portata del trattamento,
  3. il periodo di conservazione
  4. e l’accessibilità.

In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Privacy by default:

devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.

La certificazione introdotta all’Art. 42 può servire a dimostrare l’adozione di misure tecniche ed organizzative adeguate.
L’impatto di queste regole sugli applicativi software utilizzati per trattare anche dati personali è notevole:

una organizzazione di qualsiasi dimensione che adotta un sistema informatico gestionale che tratta dati personali in modo non conforme al Regolamento UE 679/2016 di fatto rischia di essere sanzionata perché non ha adottato misure di sicurezza adeguate.

Le responsabilità ricadono, in questo caso, sul titolare del trattamento e sul responsabile del trattamento, ove presente.
Dunque prima di adottare un nuovo software che gestisce archivi contenenti dati personali (a maggior ragione se vengono gestiti dati sanitari o altri dati c.d. “sensibili”) i titolari e responsabili del trattamento devono valutarne la conformità alla normativa sulla privacy e questo può essere al di fuori delle competenze di chi
decide l’acquisto di un applicativo software (responsabili EDP, Direttori Generali, ecc.), soprattutto nelle piccole e medie imprese o nelle strutture sanitarie di modeste dimensioni (es. Cliniche ed ambulatori privati).

La casistica di software che ricadono in questa sfera è vastissima, si va dai

  • comuni ERP che trattano anche dati del personale,
  • ai software per la gestione delle paghe,
  • ai programmi per la gestione delle fidelity card,
  • ai software impiegati in strutture sanitarie
  • o quelli utilizzati dagli studi legali.

Oggi molti applicativi, magari obsoleti, non permettono di implementare misure di sicurezza adeguate:

  • password di lunghezza adeguata,
  • password di complessità minima variate periodicamente,
  • password trasmesse via internet con connessioni crittografate,
  • gestione utenti,
  • raccolta di dati minimi indispensabili,
  • gestione dei consensi,
  • procedure di backup,
  • ecc.)

in futuro il loro impiego diverrà non conforme alla normativa sulla privacy, ovvero non saranno più commercializzabili.
Da un lato i progettisti e gli sviluppatori di applicativi software dovranno considerare fra i requisiti di progetto anche quelli relativi alla normativa privacy, dall’altro le organizzazioni che adotteranno applicativi software (o che
già li stanno utilizzando) saranno responsabili della loro eventuale non conformità
al Regolamento Privacy.

Sicuramente una certificazione di tali applicativi o un assessment indipendente potrà sollevare il titolare del trattamento dalle responsabilità (cfr. principio dell’accountability) connesse all’adozione di un software che non tratta i dati in conformità al GDPR.

INVEO offre un percorso gratuito alla certificazione https://www.in-veo.com/it/

il caso di successo di un nostro cliente Finance:

i problemi del Cliente:

  1. applicazioni
  • monolitiche: milioni di righe di codice
  • complesse: costruite in RPG di n livelli II, III, IV, ILE o Cobol
  • poco documentate e commentate: poco comprensibili a nuovi team di sviluppo
  • sarebbe necessario suddividerli in service program più piccoli e più comprensibili
  1. implementate da generazioni di programmatori in 30+ anni
  • Il team di sviluppo è di oltre 70 sviluppatori RPG, Cobol e Synon
  • usano stili diversi di programmazione
  • alcuni prossimi alla pensione
  1. i database non sono relazionali
  • database con 30 anni di vita sono solidi
  • contengono solo dati
  • quasi mai le relazioni tra i file
  1. Adeguamento al GDPR
  • privacy by design
  • privacy by default
  1. I test manuali sono lunghi e complessi,
  • alla fine vengono fatti dagli utenti,
  • non effettuare i dovuti test può comportare costi imprevedibili (dalle statistiche un errore risolto dopo costa 100 volte di più)

le soluzioni possibili:

  • di cambio ERP 
    • abbandonare 30 anni di applicazioni customizzate significa effettuare un cambio organizzativo molto pesante
    • le statistiche Fonte: Gartner, How to Increase Your IT Project Success Rate dicono che:
    • 24% dei progetti fallisce
    • 17% fallisce e mette in pericolo l’azienda
  • rinnovamento - migrazione
    • senza conoscere approfonditamente le logiche esistenti che futuro può avere ?

 La soluzione: X-Analysis

  1. creata immediata documentazione completa immediatamente (esempio 1, esempio 2, …)
  2. repository interattivo per i programmatori (esempio mockup)
  3. relazione tra i file tramite lettura programmi
  4. propagazione di un campo qualsiasi all’interno di tutta l’applicazione
  5. realizzazione ambiente testing batch & interattivo
  6. moduli per l trasformazione automatica X-resize, X-2CA modernize

Suggeriti

bigblue®EYE

Hai necessità di conservare in forma legale informazioni per la SOX, GDPR, LOG AMMINISTRATORI?

Approfondisci

WebSmart

Vuoi creare in modo rapido applicazioni Web e Mobile performanti su IBMi Power AS400?

Approfondisci

X-Analysis Suite

Vuoi documentare e capire meglio le applicazioni RPG, Cobol, Synon?

Approfondisci