COSA DOVETE SAPERE

Dal 25 maggio 2018 gli Stati della UE hanno un nuovo Regolamento (GDPR) che ha uniformato il diritto tra gli Stati membri sul trattamento dei dati personali

Il GDPR “General Data Protection Regulation”,

è la normativa con cui l'Unione europea intende rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica.

L’obiettivo è quello di armonizzare le leggi sulla protezione dei dati personali degli utenti gestiti dalle aziende in tutti i Paesi Europei. Il GDPR, al fine di prevenire la perdita e impedire la condivisione non autorizzata dei dati personali, comporta un importante cambiamento gestionale degli stessi all’interno dell’azienda.

Tutti gli obblighi, i diritti, le sanzioni e le conseguenze che porterà il nuovo regolamento:

Il GDPR riguarda tutte le società, di tutte le nazioni

Il GDPR riguarda tutte le società, di tutte le nazioni, che trattano dati personali di soggetti risiedenti nell’Unione Europea, in maniera indipendente dalla geolocalizzazione dell’azienda o dalla nazione in cui i dati vengono gestiti. Deve essere inevitabilmente adottato dalle aziende sia un puntuale sistema di policy, che specifiche misure tecniche e organizzative che permettano un controllo continuativo sulla conformità delle aziende stesse alla nuova normativa.

Per assicurare la conformità alla normativa diventa strategico:

  • ripensare i sistemi di gestione;
  • mappare gli strumenti ICT aziendali;
  • attivare contratti con elevati standard di sicurezza;
  • ricorrere al Privacy Impact Assessment (Pia) per specifiche tipologie di trattamento dati (ad esempio la raccolta delle informazioni di natura biometrica).

La necessità di uniformare il diritto tra gli Stati membri e la volontà di creare un mercato unico digitale europeo ha spinto verso questo importante cambiamento le istituzioni europee.

Punti focali del Regolamento in materia di privacy

Il Regolamento, innovando le norme in materia di protezione dei dati personali, cerca di adeguare le esigenze di una società digitale e interconnessa. Il passaggio da un’unica tipologia di scambio di dati, dall’interessato al titolare del trattamento, al modello della condivisione e di cogestione di dati e di informazioni.

Questi alcuni punti focali del Regolamento in materia di privacy:

  • maggiori diritti per gli interessati;
  • inasprimento del profilo sanzionatorio (le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo);
  • trasparenza del trattamento;
  • ripartizione delle responsabilità.

Il titolare del trattamento dei dati

Il GDPR offre un approccio di ampio respiro che si potrà applicare anche alle future misure di sicurezza che lo sviluppo tecnologico attualizzerà. La discrezionalità al titolare del trattamento lasciata dal Regolamento nella determinazione delle misure da intraprendere è ampia ed ha un unico vincolo: la valutazione dei rischi e la considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento.

Il titolare del trattamento deve individuare le misure di sicurezza sulla base delle specificità del trattamento che si appresta ad effettuare. I rischi cui sono esposti i dati sono correlati alle caratteristiche del trattamento: il trattamento di dati dei dipendenti di una impresa artigiana non è paragonabile al trattamento continuo di dati sensibili effettuato da un e-commerce internazionale.

Un importante ulteriore requisito è che la valutazione deve essere preliminare rispetto al trattamento stesso.
In primis bisogna effettuare un’analisi dei flussi informativi e una loro valutazione dei rischi, per decidere successivamente quali misure adottare. La scelta delle misure di sicurezza avverrà a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi.

La valutazione dei rischi e le scelte che seguiranno saranno sottoposte ad un successivo insistente controllo per decidere l’adeguatezza in ogni momento. L’insorgere di nuovi rischi o il termine di situazioni di potenziali pericoli impongono al titolare di procedere a un riesame della valutazione, adeguandola al nuovo contesto. L’eventuale rivalutazione dovrà tradursi nell’adozione di misure di sicurezza consone alle nuove situazioni di rischio rilevate.

Registri delle attività di trattamento

Una documentazione puntuale delle scelte motivate, e del processo non può mancare. Il Regolamento usa particolare attenzione alla tenuta dei registri delle attività di trattamento e a tutti gli altri documenti che attestino le operazioni svolte e l’iter decisionale che ha portato ad eseguirle.

Questi documenti assumono una duplice valenza:

  • fungono da prova della conformità alle disposizioni del Regolamento;
  • costituiscono un prezioso strumento di rendicontazione.

Le aziende sono di fronte ad un nuovo approccio basato sulla accountability, che richiede necessariamente competenze trasversali ed integrate: tecnologiche, organizzative e giuridiche. ViVieb Data Protection offre una tutela completa e pervasiva dei dati e delle informazioni grazie ad una visione complessiva della sicurezza.

 

ViVieb Data Protection: find, understand, and trust your data.