GDPR, COME FUNZIONA LA NORMATIVA PER LA PRIVACY DEI DATI PERSONALI

di Federica Ballacci

GDPR, COME FUNZIONA LA NORMATIVA PER LA PRIVACY DEI DATI PERSONALI

Il GDPR - General Data Protection Regulation -  che in italiano ha come acronimo RGPD – è un regolamento generale sulla protezione dei dati con il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti dell'Unione Europea sia all'interno che all'esterno dei confini UE. In questo regolamento è infatti affrontato anche il tema dell'esportazione di dati personali al di fuori dell'Unione Europea. Esso obbliga infatti, tutti i titolari del trattamento dei dati ad osservare ed adempiere agli obblighi previsti. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il prossimo 25 maggio 2018. Da questa data il GDPR andrà a sostituire la direttiva sulla protezione dei dati del 1995 (95/46/EC) ed abrogherà le norme del codice per la protezione dei dati personali (dlgs. n. 196/2003) che risulteranno con esso incompatibili. Occorrerà di certo una normativa italiana di "raccordo" tra le nuove norme e le vecchie della normativa precedente. Per dati personali si intende qualunque informazione relativa ad un individuo, collegata alla sua vita privata, pubblica e professionale, e comprendono: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer. Ciò che cambierà nella sostanza, a partire dal prossimo 25 maggio 2018, con l'effettiva entrata in vigore del GDPR, sarà il modo di proteggere questi dati e di gestirne l'eventuale violazione. Nel rispetto delle norme relative al principio giuridico del "diritto all'oblio", infatti, e per quello che in informatica viene definito il "principio del privilegio minimo",  ogni azienda dovrà poter accedere soltanto al minimo dei dati effettivamente necessari per svolgere correttamente il proprio compito. Per questo, ogni impresa dovrà adottare sempre più soluzioni di microsegmentazione, crittografia, autenticazione a fattore multiplo, tenendo sempre aggiornati i propri sistemi. Bisognerà, a tal fine, adeguare i processi, i software e le infrastrutture. Infatti, i diritti degli utenti sono stati estesi, con il diritto di accedere ai propri dati, di modificarli, di cancellarli o anche di negare il consenso al loro trattamento. La tecnologia può aiutare le aziende all'adeguamento delle norme del GDPR: esistono infatti software per valutare le diverse performance dell'azienda, per individuare violazioni e prevenire problematiche sulla compliance. Per garantire un livello di sicurezza adeguato in tal senso, nasce anche la figura del DPO – Data Protection Officer – che è colui che ha la responsabilità del trattamento dei dati attraverso misure tecniche ed organizzative idonee. Oltre a doversi mettere in regola con la nuova normativa, le aziende avranno anche l'obbligo della rendicontazione -  a garanzia dell'adozione delle misure di sicurezza previste dal GDPR -  in cui dovranno essere registrate le azioni e le scelte che sono state fatte.

Del resto la violazione dei dati – data breach -  rappresenta un fattore di rischio molto alto che nessuna azienda può permettersi ragionevolmente di correre. Ogni impresa è infatti tenuta a verificare e riconoscere immediatamente una violazione, comunicandola all'autorità giudiziaria entro 72 ore. In alcuni casi inoltre, è previsto che vengano avvertite anche le persone a cui risultino essere stati sottratti i dati. Le sanzioni per le aziende che non rispettino le norme di sicurezza sul trattamento dei dati personali, incorreranno in multe anche di milioni di euro o che possono arrivare fino al 4% del fatturato globale registrato nell'anno precedente.

 

TORNA AL BLOG



Articoli Simili