GDPR: quando la privacy non è più facoltativa!

20Ott
by Francesco Bertoletti

GDPR: Quando la privacy non è più facoltativa!

Ad oggi, migliaia di aziende, offrono servizi web trovandosi quindi a trattare dati personali ed approcciando all’ormai famoso concetto di privacy .
Esiste qualcosa a regolamentare tutto ciò? Qualcosa di obbligatorio si intende!

Dai risultati del report Risk: Value 2017 commissionato da NTT Security https://www.nttsecurity.com/, che si pone come obiettivo di esaminare l’attitudine delle aziende alla valutazione del rischio e alla gestione del valore di sicurezza delle informazioni da loro gestite, emerge come un elevato numero di decisori aziendali nel mondo, non siano consapevoli delle implicazioni del Regolamento europeo in materia di protezione dei dati personali (GDPR), nonché di altre normative come PCI-DSS e ISO27001/2. In particolare uno su cinque ammette di non sapere a quali normative è soggetta la propria organizzazione.

Il GDPR, si rifà al diritto fondamentale di protezione della vita privata e dei dati di carattere personale. Il suo obiettivo è quello di aggiornare ed uniformare a livello europeo le norme sulla protezione dei dati personali, che risalgono al lontano1995, adeguandole però al nuovo contesto economico e sociale, al fine di creare un clima di fiducia che consentirà lo sviluppo dell’economia digitale nel mercato europeo.

Questa definizione del “mondo dello internet” è sicuramente chiara ma a livello pratico, io azienda, cosa dovrei fare per “sentirmi in regola” ? E’ obbligatorio seguire questi principi? Incorro in eventuali sanzioni in caso di mancato adeguamento? Ma soprattutto… chi coinvolge esattamente?

Sono sicuramente coinvolte tutte le aziende che trattano dati delle persone fisiche. In particolare, con la nuova normativa, i fornitori di tali servizi sono direttamente responsabili del mancato adeguamento al Regolamento incorrendo in sanzioni che possono raggiungere I 20 milioni di Euro o il 4% del fatturato mondiale annuo di un’azienda.
E’ importante considerare però, oltre ad eventuali danni di natura economica, anche altri fattori a mio parere più importanti.
Un’azienda, se sanzionata, subirebbe un danno alla propria immagine e soprattutto andrebbe ad intaccare la fiducia instaurata con i propri clienti.

Il GDPR e’ entrato in vigore il 24 maggio 2016 ed impone agli stati membri l’adeguamento entro il 25 maggio 2018.
Sappiamo che storicamente, l’Italia preferisce lavorare per emergenze piuttosto che nella prevenzione ed è proprio su questo concetto che il GDPR calca la mano introducendo due concetti molto importanti che tutti dovrebbero conoscere per comprendere a pieno il regolamento: Privacy by Design & Privacy by Default.

L’obbligo della Privacy by Design è basato sulla valutazione del rischio dei dati in gestione all’azienda la quale dovrà effettuare tali valutazioni prima che il trattamento dei dati inizi ponendo particolare attenzione alla tipologia di dati trattati (es.dati di minori).
L’analisi del rischio è quindi effettuata in fase di progettazione del sistema.
L’analisi del rischio tiene però conto dello stato della tecnologia per cui il trattamento va adattato anche nel corso del tempo.

Con Privacy by Default invece, si sottolinea come le aziende debbano trattare dati personali nella misura necessaria e sufficiente alle finalità previste e per il periodo strettamente necessario a tali fini. Questo approccio alla gestione dei dati deve avvenire appunto come impostazione predefinita ogni volta che si da inizio ad un nuovo progetto.

A seguire le principali novità introdotte nel regolamento con gli articoli a cui fare riferimento:

  • Principio di responsabilizzazione (accountability) (art. 5 e 24).
  • La Pseudonimizzazione – Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico […] (art. 4)
  • Il Diritto all’Oblio (art. 17)
  • Il Diritto alla portabilità dei dati (art. 20)
  • Principi di Privacy by design & by default (art. 25),
  • l’obbligo di notifica dei data breach (art.33),
  • Il Data Protection Impact Assessment (DPIA) – La DPIA è quel processo che il titolare del trattamento deve compiere qualora i trattamenti, allorché prevedano in particolare l’uso di nuove tecnologie, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.(artt. 35 e 36),
  • Introduzione della figura del DPO – Data Protection Officer – Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy. (art.37).

Sarà importante quindi rendere la propria realtà aziendale conforme al GDPR investendo risorse nella sicurezza digitale non solo dei dati delle persone fisiche (clienti e dipendenti) ma anche delle informazioni strategiche di cui l’azienda è in possesso.