Condividi News su:
Le nuove regole sulla privacy: il GDPR

Il 25 maggio 2018 entrerà in vigore in Italia il General Data Protection Regulation (Gdpr): il regolamento adottato a livello europeo che impone alle aziende operanti nei Paesi membri della Ue una serie di novità di assoluto rilievo in materia di trattamento dei dati personali. Il Gdpr integra di fatto l’attuale Codice della Privacy, introdotto in Italia con il decreto legislativo 196/2003, e attualizza la Direttiva 95/46/Ce, poiché non più adatta a garantire un trattamento trasparente delle informazioni: la navigazione in Internet, il fatto di essere sempre connessi, i social network, l’uso della tecnologia per qualsiasi operazione della vita quotidiana, hanno reso ciascuno di noi “trasparenti”.

Il Gdpr prevede nuovi diritti e adempimenti, ma anche nuove e più elevate sanzioni, vediamo come:
Innanzitutto, il nuovo Regolamento viene applicato non solo nei confronti di imprese localizzate in UE, ma anche nei confronti dei titolari o responsabili del trattamento extra-UE che utilizzano informazioni dei residenti europei (per es. tramite un sito internet).
Per quanto riguarda i nuovi diritti dell’interessato, questo potrà contare sul diritto di accesso ai propri dati, sul diritto all’oblio (vale a dire il diritto di ottenere la cancellazione dei propri dati senza la necessità di inoltrare una specifica richiesta, come avveniva invece in passato), sulla possibilità di revocare il consenso a determinati trattamenti e di ottenere, su richiesta, la restituzione dei propri dati personali da parte del Titolare del trattamento e che questi siano trasmessi ad un nuovo Titolare.
Se da un lato sono previsti nuovi diritti, dall’altro nuove e più alte sanzioni saranno a carico di chi non dimostrerà di essere compliance ai principi base del Gdpr; le imprese rischieranno multe fino a 20 milioni di euro o fino al 4% del fatturato conseguito a livello globale nell’anno precedente a quello in cui è avvenuta la violazione.
Per gli adempimenti si prevede che tutti i nuovi prodotti e servizi devono garantire, fin dalla loro progettazione, una privacy assoluta grazie a concetti come pseudonimizzazione (procedimento attraverso cui le informazioni di profilazione vengono conservate in una forma tale da impedire l’identificazione dell’utente, grazie al ricorso al mascheramento e ai tag), minimizzazione (le organizzazioni possono trattare di default soltanto i dati personali necessari ad una specifica finalità del trattamento), data retention, sicurezza end-to-end, che vanno assicurati per tutto il ciclo di vita dell’informazione.
Inoltre, i titolari che trattano dati che, per natura, scopo, finalità, etc., presentino specifici rischi per i diritti fondamentali degli interessati nonché le libertà personali, dovranno necessariamente prevedere un Piano di impatto sulla protezione dei dati, questo nel particolare, poiché, in generale, tutti dovranno fare i conti con la Protezione dei dati, e nello specifico con i data breach, ovvero le violazioni nei sistemi delle organizzazioni che portano alla fuoriuscita di informazioni: dal 25 maggio 2018 le realtà che subiscono attacchi di questo genere avranno l’obbligo di comunicare eventuali perdite al Garante e, in casi rilevanti, anche ai diretti interessati entro 72 ore dal rilevamento del breach. Considerando che i data breach impattano molto sulla fiducia dei clienti, sulla reputazione del brand e a livello legale, diventa fondamentale per le società agire in modo da rispettare questi i principi.
Il regolamento ha, inoltre, introdotto la figura del Data Protection Officer, che dovrà agire in totale indipendenza e con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
Ma l’aspetto più rivoluzionario è senza dubbio il principio di Responsabilizzazione, cioè il titolare o il responsabile del trattamento deve essere in grado di dimostrare che si sta “lavorando in modo lecito, corretto, esatto, sicuro e responsabile”, il che significa che deve dimostrare di essere a conoscenza di tutti i trattamenti di dati in corso presso la propria organizzazione e, quindi, di conoscere e di poter dimostrare a richiesta tale correttezza. 
Il Gdpr non deve essere visto solo come un onere bensì anche come un fattore di vantaggio competitivo: un'attestazione di conformità, soprattutto se fatta in questa prima fase, diventerà agli occhi di un cliente o di un prospect un criterio di selezione.  
In definitiva, il Gdpr, pur dando maggiori diritti ai cittadini, rappresenta, tutto sommato, un dovere non indifferente per le imprese, anche dal punto di vista tecnologico: garantire principi come portabilità, correzione o cancellazione immediata dei dati sono infatti necessarie soluzioni idonee ed efficienti.
La gestione dei dati personali non è più solo un adempimento, ma diventa un processo aziendale che incide sull’organizzazione delle imprese, e che deve prevedere novità, cambiamenti e controllo nella gestione di questo mutamento.
Una strada percorribile?  Automatizzazione “estrema” delle attività di gestione dei dati e supporto di un partner con comprovata esperienza, per assicurare compliance al regolamento e per individuare aspetti strategici.