GDPR, cosa c’è da sapere e quali cambiamenti le aziende devono affrontare

GDPR, cosa c’è da sapere e quali cambiamenti le aziende devono affrontare

Il 25 maggio 2018 sarà effettiva in tutta Europa il GDPR normativa riguardante la tutela delle persone fisiche in merito al trattamento e alla libera circolazione dei dati personali.

Cosa significa GDPR? E perché è importante mettersi in regola?

Il GDPR, acronimo di General Data Protection Regulation è una nuova legge Europa che è già entrata in vigore e sarà effettiva dal 25 Maggio 2018.

Essa è il risultato di anni ed anni di trattative tra esperti di cybersecurity, organizzazioni governative ed avvocati. Si tratta di una nuova normativa atta a regolamentare il data process management ovvero, il trattamento e la libera circolazione dei dati personali, definendone la regolamentazione in relazione alla loro protezione.

Innanzitutto bisogna precisare che il GDPR definisce “dati personali” tutte le informazioni relativa ad un individuo, connesse alla sua vita sia professionale che privata, come nomi fotografie, indirizzo e-mail e così via. Quindi, lo scopo è quello di salvaguardare la tutela dei dati personali dei cittadini dell’Unione di fronte ai rischi di un mondo in forte evoluzione digitale. Diversamente dalla “Legge Cookie” (2014), il GDPR impone alle aziende di mettere a punto dei piani di adeguamento precisi ed immediati. Difatti molte novità introdotte obbligano le organizzazioni pubbliche e private un cambiamento sostanziale che prevede specifiche responsabilità ed azioni puntuali.

Ruoli e responsabilità GDPR

Come si è già detto, la tutela dei dati degli utenti, in pratica, passerà attraverso un procedimento strutturato che impone ruoli, responsabili e responsabilità precisi.

Il proprietario dei dati, giuridicamente definito persona fisica, deve fornire esplicitamente in forma scritta un consenso per la raccolta e la gestione dei propri dati personali. A sua volta il titolare del trattamento, controller, si assume il rischio di eventuali violazioni (data breach). Viene definito processor il responsabile del trattamento, ovvero chi utilizza effettivamente questi dati. In caso di eventuali violazioni, il Data Protection Officer (DPO), responsabile effettivo della protezione dei dati, è incaricato di avvisare il controller. Di rimando, l’autorità Capofila, supervisor authority, si assume la responsabilità di coordinare, con le altre autorità interessate nel trattamento, le attività dei processi di utilizzo transfrontaliero dei dati.

Infine, l’onere di coordinare le autorità sovraintendenti è assunto dall’EDPB (European Data Protection Board), un Comitato Europeo incaricato alla tutela dei dati personali.

Aziende e persone fisiche: diritti e doveri

Il nuovo regolamento sulla Data Protection introduce una lunga lista di doveri per le aziende e numerosi diritti per gli utenti. I cardini fondamentali di quest’ultimi sono tre:

  • Il Diritto all’Oblio. L’utente ha il diritto di ottenere la cancellazione dei propri dati personali. Si tratta in sostanza della possibilità da parte dell’utente di ritirare il consenso al trattamento dei suoi dati. Le aziende dovranno cancellare completamente i dati archiviati.

  • Il Diritto alla Portabilità dei dati. All’utente viene garantita la possibilità di scaricare i propri dati e di trasferirli altrove. In altre parole l’interessato avrà il diritto di ricevere i dati precedentemente forniti ad un titolare del trattamento e di ottenere che questi vengano trasmessi ad un altro titolare.

  • Il Diritto di Accesso. A partire dal 25 maggio 2018 le aziende sono obbligate alla trasparenza in relazione ai motivi e ai modi di raccolta e utilizzo dei dati personali. Con l’introduzione dei registri delle attività di trattamento infatti esse dovranno esplicitamente specificare le finalità del trattamento dei dati, le categorie di dati personali e di soggetti interessati e le misure di sicurezza tecniche ed organizzative che adottate in merito.

Sarà anche necessario dotarsi di una procedura per informare gli utenti di eventuali violazioni dei dati. A tal proposito sarà opportuno per le aziende di munirsi di plug-in (che dovrà essere conforme al GDPR) di cui servirsi per adempiere a questo passaggio del regolamento.

Le aziende inoltre avranno il dovere di provare che l’individuo abbia fornito esplicito consenso per il trattamento dei suoi dati e proteggere questi dati dalla distruzione accidentale o illegale, dalla loro eventuale perdita e dalla loro eventuale modificazione, da accessi e divulgazioni non autorizzate.

Devono poter provare la compliance alle regolamentazioni attraverso misure di governance. Queste misure includono documentazioni dettagliate e valutazioni del rischio periodiche. E in caso di violazioni, notificarle entro 72 ore agli organi competenti suddetti.

Le sanzioni per chi non si adegua

Per gli irregolari, trasgressore della normativa sono previste delle sanzioni salate che dal 25 maggio 2018, potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. A destare maggiore preoccupazione è il fatto che da uno studio recente, condotto dalla società Gartner, leader mondiale per nella consulenza strategica, è emerso che 1 azienda su 2 non conosca gli obblighi previsti dalla nuova normativa europea e che solo il 9% abbia avviato le procedure necessarie per adeguarsi ad essa.

Il controllo sul rispetto delle normative previste dal GDPR, inoltre, sarà molto rigoroso: ogni stato membro avrà un’autorità competente che gestirà la conformità GDPR attraverso gli audit web e avrà la possibilità di emettere sanzioni autonomamente.

Keep calm and comply with GPR: i passi per la compliance

Possiamo suddividere l’iter per ottenere la compliance in 6 step:

  1. Assessment: effettuare valutazioni a livello di organizzazione, di policy, di processi e di tecnologia.
  2. Analisi del rischio: analizzare le vulnerabilità ed individuare i rischi a livello di organizzazione, di policy, di processi e di tecnologia.
  3. Valutazione del rischio: adottare le misure adeguate per la riduzione del rischio, poichè il GDPR non prevede standard minimi.
  4. Attuazione delle misure adeguate: implementare le misure di sicurezza a livello di organizzazione, di policy, di processi e di tecnologia.
  5. Training: istruire e sensibilizzare lo staff coinvolto nel processo del trattamento dei dati.
  6. Aggiornamento periodico: svolgere periodicamente queste attività su base annuale.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *