Gdpr, le cose da sapere

Il Gdpr (General Data Protection Regulation), la normativa con cui l'Unione europea intende rafforzare e unificare la protezione dei dati personali entro i propri confini dell'Ue, modifica in modo sostanziale diversi aspetti inerenti la conservazione dei dati personali. O forse sarebbe meglio dire modificherà, visto che l’entrata in vigore è prevista il 25 maggio del 2018.

Manca ancora più di un anno, ma l’evento è ineluttabile, dato che la decisione dell’impiego del nuovo regolamento è stata presa a livello continentale, una decisione che comporta che le aziende adottino un preciso sistema di policy, specifiche misure tecniche e organizzative volte a permettere un controllo continuativo sulla conformità delle aziende stesse con la nuova normativa.

Scarica il testo del regolamento in pdf

 

Il Gdpr comporta un cambio radicale nel modo di gestire i dati personali all’interno dell’organizzazione, con il fine ultimo di prevenirne la perdita e impedirne la condivisione non autorizzata.

Va da sé che diventa obbligatorio ripensare i sistemi di gestione per assicurare la conformità alla normativa, ma diventa anche strategico poter avere la mappatura degli strumenti Ict aziendali, attivare contratti con elevati standard di sicurezza e, in alcuni casi, ricorrere al Privacy Impact Assessment (Pia) per determinate tipologie di trattamento dati, come nel caso della raccolta delle informazioni di natura biometrica.

Il Gdpr promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Come cambia la privacy

Il principio chiave è la “privacy by design”, ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.

Per esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere a un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l’Autorità di protezione dei dati in caso di dubbi.

Viene inoltre introdotta la figura del Responsabile della protezione dei dati, mentre scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti, oppure di sottoporre a verifica preliminare dell’Autorità i trattamenti considerati “a rischio”.

Il Regolamento promuove inoltre il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso dell’approvazione da parte della Commissione, il codice di condotta avrà applicazione nell’intera Ue).

Certificazione

Il titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati.

L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.

Diventa perciò prioritario determinare quali persone all’interno della propria struttura aziendale trattano i dati. Bisogna poi definire regole specifiche sul trattamento dati effettuato rispetto a dipendenti, richiedenti impiego o soggetti su cui sono effettuate azioni marketing.

Proporzionalità

Il Gdpr evidenzia come le policy relative alla tutela dei dati personali debbano essere proporzionate alla tipologia di trattamento. In pratica, le aziende il cui core business sia basato su attività esclusivamente produttive per conto terzi potranno avere un minor impatto a livello privacy, mentre potrà essere particolarmente elevata l’attenzione da parte di quei soggetti che hanno rapporti con i consumatori finali, che effettuano attività di marketing, che trattano dati di natura sanitaria o di servizi consulenziali.

Da ciò consegue che il titolare del trattamento dati potrà ricorrere solo a fornitori in grado di assicurare misure tecniche e organizzative in linea con quanto imposto dal Gdpr nel caso si renda necessaria l’esternalizzazione di un trattamento, come per esempio la gestione delle buste paga o il backup su server di un fornitore terzo.

Il Gdpr prevede che l'attuazione del trattamento su commissione sia regolamentata da un contratto che contempli sia la durata del trattamento stesso, la natura, le finalità e le tipologie di dati, sia tutte le misure di sicurezza e la suddivisione delle responsabilità tra il titolare del trattamento e il fornitore riguardo la protezione dei dati.

Obbligo di notifica

Nel caso di eventuali violazioni dei dati personali (data breach), il titolare del trattamento può dover notificare l’accaduto sia all’Autorità competente sia all’interessato qualora la violazione potrebbe comportare un rischio elevato per diritti e libertà.

Aspetto importante è che il Gdpr introduce il diritto alla portabilità dei propri dati personali. Questo consente a utenti, dipendenti o qualunque persona i cui dati siano trattati da un terzo di poter trasferire tali dati al proprio nuovo datore di lavoro, fornitore, consulente e così via.

Primo di tre articoli. Seguiranno

Gdpr: le sanzioni per chi non si adegua

Gdpr: il nuovo ruolo del responsabile protezione dati e la privacy by design

 

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here