Monitoraggio remoto stampanti nel Cloud e conformità al GDPR

Il Regolamento Europeo 679/2016 (GDPR) pone delle novità in merito alla gestione dei dati personali a chiunque sia nella condizione di doverli gestire – comprese le aziende che utilizzano sistemi di monitoraggio remoto delle stampanti. Di seguito è riportata un’autovalutazione per capire se la propria azienda è conforme o meno alla normativa.

Il monitoraggio remoto in Cloud, per le aziende coinvolte nel business delle stampanti, è ormai una componente essenziale dell’infrastruttura IT. Rivenditori, fornitori e provider della gestione dei servizi di stampa di tutto il mondo usano applicazioni SaaS (Software as a service) in Cloud per raccogliere e immagazzinare dati, contatori, livelli dei toner più tante altre informazioni necessarie per provvedere al monitoraggio remoto, al fine di gestire contratti Costo-pagina e automatizzare la fornitura dei consumabili presso gli utilizzatori finali.

Come conseguenza dei cambiamenti repentini del mercato e degli odierni scenari altamente competitivi, i vantaggi dovuti all’uso di piattaforme di monitoraggio SaaS Cloud sono tangibili: software costantemente aggiornati, procedure di supporto centralizzate, nessun costo di infrastruttura, tempi di go-live ridottissimi, sono solo alcune delle molte caratteristiche che rendono tali soluzioni estremamente vantaggiose e potenti.

Tuttavia, come sempre, da un grande potere deriva anche una grande responsabilità.

Ormai tutti ben sappiamo come qualsiasi impresa che abbia clienti dislocati in Europa debba soddisfare le direttive del General Data Protection Regulation 2016/679 (GDPR) per tutte le attività di trattamento di dati personali di cittadini europei. Rivenditori di stampanti e fornitori di servizi di stampa gestita (MPS) non fanno eccezione, dal momento che il GDPR si applica anche alla gestione dei dati personali all’interno dei sistemi di monitoraggio remoto SaaS.

L’articolo 4.1 del GDPR recita in modo chiaro che “per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile”, con particolare riferimento a: nomi, indirizzi fisici, identificativi on-line come un indirizzo e-mail correlato a una identità fisica.

Mettiamoci nei panni di un rivenditore di stampanti e multifunzione che usa uno tra i tanti sistemi di monitoraggio SaaS sul mercato. Può l’utilizzo di tale sistema introdurre rischi aggiuntivi per la conformità al GDPR?

La risposta a questa domanda dipende da vari fattori:

• Tipo di dati processati: dati personali o aziendali;
• Livello di protezione dati implementato dal SaaS provider;
• Esistenza di una nomina a Responsabile del Trattamento da parte dell’azienda verso il SaaS provider, come previsto dall’ art. 28 del GDPR;
• Livello di conformità al GDPR assicurato dal SaaS provider;
• Ubicazione fisica dei server (dentro o fuori il territorio europeo) dove il provider SaaS ospita le sue applicazioni e dove i dati sono gestiti e conservati.

Se nel sistema SaaS vengono gestiti solo dati tecnici, oppure solo dati aziendali in relazione a persone giuridiche, questi NON sono sotto la protezione del GDPR e NON è richiesto di gestirli in ottemperanza del GDPR. In questo scenario, tutti i fattori sopra elencati non sono rilevanti per la conformità dell’azienda e, molto probabilmente, non si avrà nulla da temere.

Se invece si trasferiscono verso un sistema SaaS dei dati personali di cittadini europei, come nomi di persona, indirizzi email personali e numeri di telefono o qualsiasi altra informazione relativa a una persona identificabile, allora è necessario gestire tali dati secondo le prescrizioni previste dal GDPR. In questo caso, tutti i punti elencati sopra diventano estremamente importanti e si dovrà tenerne conto con attenzione nel verificare la propria conformità alla legge.

Come è possibile auto-valutare la propria condizione per essere sicuri che le attività di gestione dati in SaaS siano corrette ai fini del GDPR?

Di seguito riportiamo una breve check-list di domande per valutare lo stato dell’ambiente Cloud SaaS utilizzato dalla vostra azienda:

1. Si conservano nel database SaaS nomi di persona e/o indirizzi email personali, per esempio per inviare alert, report, notifiche, messaggi email, etc. o qualsiasi altro dato personale come riportato dall’Art. 4.1 del GDPR?

• Se No, molto probabilmente non bisognerà preoccuparsi di soddisfare nessuna richiesta del GDPR;
• Se Sì, bisognerà applicare tutte o alcune delle successive richieste.

2. Il provider SaaS ha fornito informazioni chiare ed esaurienti circa il livello di sicurezza e protezione che ha implementato nella gestione dei dati personali?

3. È stato firmato un Atto di Nomina a Responsabile del Trattamento (Data Processing Agreement) con il provider SaaS? Tale Atto è redatto in forma di contratto legalmente vincolante (legally binding contract) in cui sicurezza, procedure di protezione e politiche, ruoli e responsabilità e altre disposizioni richieste dalla legge sono chiaramente espresse e accettate dal provider SaaS?

4. Il provider SaaS ha provveduto a nominare formalmente un DPO (Data Protection Officer) per la sua azienda?

5. Il provider SaaS ha fornito una certificazione che attesta l’esistenza di procedure di trattamento dei dati personali che sono completamente conformi con i requisiti del GDPR?

6. I server SaaS sono ubicati in una nazione che si trova all’interno dei territori dell’UE?

• In caso positivo, non ci sono altri requisiti su questo punto, poichè il GDPR non pone vincoli circa il trasferimento di dati all’interno dell’UE.
• Se non lo sono, bisogna essere sicuri che il trasferimento di dati verso la nazione di immagazzinamento sia consentito. Questo può essere vero se la nazione è considerata adeguata dalla Commissione Europea, che ha il potere di prendere decisioni sull’adeguatezza ai sensi del GDPR. In assenza di una decisione sull’adeguatezza, è necessario mettere in atto misure di salvaguardia supplementari, come norme aziendali vincolanti o clausole standard sulla protezione dei dati nei contratti.
• Se il sistema Cloud SaaS è dislocato nel territorio degli USA (che è il caso più comune per numerosi provider SaaS di soluzioni di monitoraggio), il provider deve essere incluso nel EU-US Privacy Shield Framework ed essere elencato nella Privacy Shield List, rendendo quindi facile la verifica sulla possibile conformità o meno.

7. Il provider SaaS possiede una qualsiasi certificazione relativa alla privacy e alla sicurezza delle informazioni, come ad esempio la certificazione ISO/IEC 27001?

In assenza di risposte chiare a queste domande, esiste un rischio concreto di avere problemi di conformità al GDPR nelle proprie attività di trattamento dati personali.

In conclusione, va tenuto presente il fatto che in qualsiasi situazione in cui un Titolare del Trattamento (l’azienda) trasferisce dati personali di cittadini europei verso un Responsabile Esterno (il provider SaaS), il Titolare ha la responsabilità di assicurare e dimostrare che l’attività di trattamento viene condotta in piena conformità del GDPR.