Arriva il GDPR, la rivoluzione nel trattamento dei dati personali

Novembre 17, 2017

Dopo un burrascoso iter legislativo durato 4 anni, un acceso dibattito politico, pressioni da parte delle lobby americane dei colossi di internet e più di 4000 emendamenti, arriva il pacchetto ‘protezione dati’ varato dalla UE. Il Regolamento Europeo 679/2016, meglio conosciuto come GDPR, sarà direttamente applicabile da tutti gli stati membri a partire dal 25 maggio 2018, con sanzioni fino 20 mln di euro o al 4% del fatturato per i trasgressori.

La protezione della privacy, annosa questione entrata a fatica nel circolo delle buone pratiche, ormai non basta più. Il nuovo regolamento generale sulla protezione dei dati risponde alle minacce sempre più concrete che corrono sui fili della ‘rete’ e parla di Data Protection. L’intenzione è quella di rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, non solo sul suolo comunitario ma anche al di là dei confini.

 

Di chi sono i dati? Dove si trovano? Chi ne è responsabile e come li protegge? Le domande che sorgono spontanee attorno al tema dei dati sono molteplici, così come sono numerosi i punti che ancora creano confusione. Una ricerca commissionata da Citrix, dove sono stati intervistati 500 addetti IT, ha evidenziato che le aziende medio grandi in Italia raccolgono i dati personali di oltre 500 persone al giorno, utilizzando circa 25 sistemi diversi. Quasi il 63% delle aziende utilizza i dati personali archiviati per realizzare analisi previsionali, conservandoli per più di un anno.

 

Il GDPR ha, tra gli altri obiettivi, quello di restituire ai cittadini il controllo dei propri dati. Emerge infatti dalla ricerca di Citrix la convinzione di metà delle aziende coinvolte che i dati siano effettiva proprietà dell’organizzazione, mentre solo il 36% pensa che siano dei clienti. Riconoscere la proprietà e la responsabilità dei dati è il primo passo di molti a seguire, per raggiungere la conformità al nuovo regolamento.

 

La privacy e i dati diventano un tema di governance d’impresa. Le aziende si trovano ad affrontare una sfida non indifferente, poiché l’art.24 punto 1 del GDPR richiede al titolare di “mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR”.

 

Con l’avvento del GDPR, il titolare delle informazioni deve essere in grado di identificare l’incidente di sicurezza in genere, comprendere il tipo di impatto che potrebbe avere sulle informazioni e infine verificare se tra le informazioni coinvolte sono presenti dei dati personali. È infatti obbligo del titolare notificare all’autorità di controllo la violazione di dati personali (data breach) entro 72 ore e, nel caso il rischio fosse elevato, darne comunicazione immediata all’interessato. Per questo motivo, tutte le attività poste in essere riguardo alla scoperta dell’incidente e il successivo trattamento, devono essere documentate, tracciabili e comprovabili nelle sedi competenti.

 

Tutelare i dati significa principalmente preservarli dagli attacchi esterni, i quali sono diventati una minaccia concreta a seguito del massiccio sviluppo tecnologico degli ultimi anni. Nell’ambito della cybersecurity si mostra fondamentale effettuare un penetration test ed un vulnerability assesment del network, cosa di non facile attuazione per le numerose piccole e medie imprese che rappresentano la colonna portante del nostro paese.

 

La Commissione Europea non ha ancora delineato le semplificazioni in materia per le PMI, che spesso si rivolgono a terzi per sopperire alle carenze interne di infrastrutture e competenze. È dunque responsabilità delle aziende verificare se i servizi e i fornitori sui quali si fa affidamento, sono effettivamente allineati con i requisiti del GDPR.

 

Tra accessi ai sistemi informatici, registrazioni degli impianti di videosorveglianza, sito Web e interazioni sulle piattaforme di comunicazione, sono molteplici i piani sui quali si rende necessario l’intervento di personale qualificato. Il GDPR prevede infatti il Data Protection Officer (DPO), il quale non può essere rappresentato dall’IT manager, poiché si tratta di un ruolo ispettivo e quindi al di sopra delle funzioni operative. Il nuovo regolamento diventa così a tutti gli effetti un’opportunità di carriera per gli esperti di Data Protection.

 

L’ Information Commissioner’s Office, un ente pubblico non dipartimentale britannico che riferisce direttamente al Parlamento e si occupa della protezione dei dati, propone 12 passi per verificare lo stato di preparazione alla ricezione del GDRP. Il primo passo è rappresentato dalla consapevolezza.

 

E la vostra azienda, è pronta?


 

Per aiutare ad affrontare in modo corretto tutte le novità, Bologna Business School propone il corso Open Program GDPR: Impatto del nuovo regolamento sulla privacy. Il programma, della durata di due giornate d’aula, è rivolto ad amministratori, imprenditori, dirigenti, manager e chiunque abbia un ruolo di responsabilità con l’obiettivo di comprendere le implicazioni giuridiche e organizzative del regolamento.



ISCRIZIONE

Back To Top