Il 25 maggio 2018 scatterá l’operativitá del General data protection regulation (GDPR). Il nuovo regolamento avrá delle profonde conseguenze per la gestione dei dati personati.

Lo scopo del GDPR un livello maggiore di privacy e delle sicurezza dei dati all’interno dell’unione europea. Va a rafforzare il Digital Single Market, ossia il progetto della creazione di un mercato comune all’interno dell’UE. Tutte le aziende che gestiscono dati personali di soggetti europei dovranno adiempirla, indipendemente dalla loro sede. La norma verrá applicata a tutti i tipi di aziende, grandi e piccole, associazioni, studi professionali e nel settore pubblico. Secondo il principio di responsabilizzazione, ogni azienda dovrá essere in grado di dimostrare la propria compliance al nuovo regolamento.

Quali dati dovranno essere protetti?

La GDPR si applica ai dati personali, ossia di qualsiasi dato che renda possibile individuare una persona specifica. Questi dati possono essere ad esempio nome e cognome o data di nascita, ma anche la combinazione dei dati sopra citati con un indirizzo IP.

Quali misure devono essere attuate dalle aziende?

La normativa cambia radicalmente l’approccio alla tutela della privacy. Mentre leggi meno recenti sono incentrate sull’adempimento di standard, la GDPR segue un’approccio incentrato sul dato. Si passa dunque da un modello di accountability ad un modello di privacy by design e privacy by default. Inoltre la GDPR introduce il concetto di una sicurezza dei dati che deve seguire l’attuale stato della tecnologia. Il regolatore costringe cosí le aziende che trattano dati personali ad introdurre misure organizzative e tecnologiche sempre attuali. Tra quest’ultime il regolatore ne cita esplicitamente solo due: pseudonomizzazione e crittografia.

Cosa cambierá per la gestione dei dati personali?

In primo luogo vengono rafforzati i diritti delle persone a cui si riferiscono i dati gestiti dalle aziende (cosidetti interessati). L’interessato ha il diritto di essere informato quali dati sono in possesso dell’azienda. Puó richiedere che gli vengano comunicati, aggiornati, integrati e trattati per scopi leggittimi. Inoltre puó richiedere che vengano cancellati o resi anonimi. I responsabili o titolari delle aziende dovranno trattare i dati adottando i soluzioni technologiche e processi aziendali atti a prevenire rischi relativi alla privacy nei loro progetti, processi, prodotti o servizi (privacy by design). Inoltre sono tenute ad utilizzare via impostazione predefinita, solo i dati strettamente necessari per specifici trattamenti (privacy by default).

La GDPR prevede inoltre l’obbligo di segnalazione al garante della privacy o presso la sede piú vicina di qualsiasi evento di perdita di dati personali (data leak, data breach), per esempio in caso di un attacco informatico, entro 72 ore dal loro riconoscimento. In conseguenza la GDPR renderá necessaria l’implementazione di un registro di trattamenti per la gestione dei dati personali, ossia un elenco sistematico di tutti i trattamenti a cui vengono sottoposti dei dati personali.

Cosa rischiano le aziende? Sono previste delle sanzioni per mancato adempimento?

Aziende che non seguiranno le norme della Gdpr saranno esposte a sanzione che potranno raggiungere fino a 20.000.000 € o il 4% del loro fatturato mondiale.

Leave a Reply

Your email address will not be published. Required fields are marked *