Pubblicato il 22/01/2018
Il prossimo 25 maggio sarà applicato il GDPR, General Data Protection Regulation o Regolamento generale sulla protezione dei dati personali. Tra qualche mese il Regolamento, già in vigore dal 2016, diverrà obbligatorio per tutti i soggetti che operano nel mercato europeo, anche se non appartenenti ad uno degli Stati Membri. La riforma sulla protezione dei dati sensibili sostituirà, quindi, la Direttiva 95/46/EC e abrogherà in Italia le norme del dlgs n.196/2003 che risulteranno incompatibili con esso.
L'oro nero
"I dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." Definizione della Commissione Europea
È l'Industry 4.0, bellezza e tu non puoi farci niente! Direbbe qualcuno parafrasando la celebre battuta di Humphrey Bogart nel film “L'ultima minaccia”. È l'economia dei Big Data, degli algoritmi predittivi, dell'Internet Of Things, dell'Intelligenza Artificiale, in cui l'oro nero è rappresentato dai dati che dicono alle aziende tutto di noi, chi siamo, dove abitiamo, cosa, come, quando e perché consumiamo, e in cui a farla da padroni, inevitabilmente, sono le grandi multinazionali in grado di raccogliere e controllarle quelle informazioni e, anche, di rivenderle, da Google ad Amazon, da Facebook a Microsoft. Un tesoro inestimabile, dunque, che chiama in causa questioni etiche, economiche e giuridiche. Oggi è obbligatorio ripensare alla gestione dei dati per tutelare tanto le persone fisiche quanto quelle giuridiche, ma anche per aiutare le aziende che con i dati lavorano a muoversi in un mercato più sicuro e trasparente.
Che cos'è il GDPR
Il GDPR è un testo di legge che fornisce, dopo anni di silenzi, contraddizioni e vuoti normativi, una governance uniforme e adeguata, un insieme unico di regole, senza barriere giuridiche tra i vari paesi europei, per le aziende che raccolgono e trattano dati e informazioni sensibili. Al suo interno sono esplicitati ruoli, principi e questioni applicative per ridefinire dalle fondamenta le attività di gestione ed elaborazione dati, propri e di terzi. Questo regolamento pone un'interessante novità ovvero un cambio di prospettiva rispetto alla direttiva precedente: i legislatori non si sono focalizzati sui diritti del soggetto interessato, ma sui doveri del responsabile del trattamento dei dati personali, imponendo un cambio di rotta necessario soprattutto all'indomani dei gravissimi e sempre più frequenti attacchi informatici a danno degli utenti e delle aziende stesse, come i data breach contro Unicredit, Uber, Linkedin, Yahoo, JP Morgan, Sony PSN, solo per citarne alcuni.
Per la prima volta, si usano termini come responsabilizzazione e valutazione del rischio, si parla di sanzioni rigide “che possono raggiungere il 4% del volume globale d'affari” per chi non si adegua. Il regolamento europeo, da molti definito come lo statuto della Data Economy, obbliga le aziende a ripensare ai dati in chiave strategica, come uno strumento prezioso di crescita e di sviluppo in un ambiente competitivo. Non solo, ma fornisce indicazioni per prevenire cyber attacchi e violazioni nei database.
Punti chiave nel GDPR
Per semplificare i punti nodali del Regolamento partiamo dagli obblighi in carico alle imprese (vera novità del GDPR):
1. Informativa sulla privacy: a cambiare è innanzitutto il contenuto con la specifica di tempi di raccolta più tassativi, ad esempio, o con l'esplicitazione di tutti i passaggi previsti dalla raccolta, poi la forma, più chiara, concisa e intellegibile e la sua accessibilità che deve essere facile e immediata.
2. Consenso: deve essere esplicitamente dato per la raccolta dati e per tutti i singoli propositi per i quali vengono utilizzati. Deve essere evidenziato con termini chiari qualora si trovi in un documento dove sono presenti altre dichiarazioni. Per i minori, il consenso è valido solo se il minore ha 16 anni, in caso di età inferiore è necessario un genitore o un tutore. Il consenso deve essere provato e può anche essere ritirato o modificato.
3. Analisi del rischio: ogni impresa deve essere in grado di valutare lo stato di sicurezza delle informazioni in suo possesso e, di conseguenza, deve essere in grado, attraverso un attento e costante monitoraggio di gestire con efficienza e rapidità gli incidenti.
4. Obbligo di notificare i data breach: gli attacchi informatici devono essere notificati per tempo se non si vuole incorrere in pesanti sanzioni.
5. Profilazione: questa tipologia particolarmente invasiva di trattamento di dati, che riguardano aspetti personali, deve essere esplicitata e distinta da altre forme di trattamento non automatizzate, così come è necessario che venga fornito uno specifico consenso.
I diritti dell'interessato:
1. Diritto all'oblio: con la stessa facilità con cui l'interessato ha espresso il consenso, può appellarsi al diritto alla cancellazione di dati personali relativi a sé o a limitazioni e modifiche nel trattamento.
2. Portabilità: l'interessato ha il diritto di trasferire i propri dati da un sistema di trattamento elettronico a un altro senza alcun impedimento in un formato elettronico strutturato e di uso comune.
La figura del Data Privacy Offer
“Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare”
Sarà obbligatorio per ogni azienda, pubblica o privata, che si occupa della raccolta e del trattamento di informazioni sensibili avere nel proprio organico la figura altamente esperta del Data Protection Officer (DPO) ovvero un responsabile della protezione dei dati a cui sarà affidato il delicato compito di predisporre un piano operativo per garantire la sicurezza delle informazioni e limitare i casi di data breach. Ma ecco in estrema sintesi e per facilità di comprensione, secondo l'art. 39 del Regolamento, i principali compiti richiesti al Responsabile della Protezione dei Dati:
1. informativo e consultivo a favore del titolare (data controller) e del responsabile (data processor) del trattamento dei dati sulle disposizioni previste dal GDPR, dall'Ue e dalle norme di ogni stato;
2. raccordo con l'Autorità Garante e con i responsabili dell'area trattamento dati;
3. controllo sull'osservanza del Regolamento al fine di evitare sanzioni. Non sono mancate dispute e controversie dopo l'entrata in vigore del GDPR, quali saranno poi le conseguenze effettive di un testo simile si potrà valutare solo con il tempo.
Quel che è certo è che molte aziende italiane sono ancora indietro nel processo di adeguamento previsto dalla normativa e in tema di cyber security e gestione trasparenti dei dati annaspano. Solo le imprese che vedranno nel GDPR non rigide norme cui adempiere per non incorrere in multe salate, ma un'opportunità per sviluppare nuove e più efficaci strategie commerciali grazie ad una maggiore consapevolezza dei rischi potranno far parte attiva del cambiamento inarrestabile che riguarda tutti.