TAAItaly-it-gdpr
Compliance21 marzo, 2018

5 cose da sapere sul GDPR

Il 25 maggio 2018 sarà una data importante per imprese, enti e cittadini perché è il giorno in cui verrà applicato il general data protection regulation - GDPR (o RGPD in italiano, regolamento generale sulla protezione dei dati).

1. Cos’è il GDPR?

Il testo del regolamento è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore il 25 maggio dello stesso anno ma solo da maggio 2018 inizierà ad avere efficacia.
Il GDPR è lo strumento con cui la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti dell'Unione Europea, sia all'interno che all'esterno dei confini dell'UE.

L’obiettivo alla base del GDPR è offrire tutela alle persone e opportunità alle imprese.

Grazie al Regolamento, infatti, potrai ricevere informazioni più chiare e complete sul trattamento dei tuoi dati personali ed esercitare importanti diritti connessi all’uso delle nuove tecnologie: su tutti, la portabilità dei dati e il diritto all’oblio.
Il diritto all'oblio è una particolare forma di garanzia che prevede la non diffondibilità di precedenti pregiudizievoli dell'onore di una persona (ne abbiamo parlato nell'articolo sulla condivisione sicura di dati e file).

Dall’altra parte, imprese ed enti saranno maggiormente responsabilizzati ma potranno anche usufruire di semplificazioni e sgravi dagli adempimenti.
Attenzione però: chi non rispetta le regole incorrerà in sanzioni, anche molto elevate.

2. Perché serve il GDPR?

In un mondo sempre più all’avanguardia da un punto di vista tecnologico, il GDPR punta a conciliare l’innovazione con la tutela delle persone.
Tra il boom di internet, la diffusione dei social network, l’utilizzo dei sistemi di gestione in cloud e in generale il progresso della tecnologia, i nostri dati sono sempre più diffusi (volontariamente e involontariamente) sulla rete. Nessuno è pienamente consapevole di quali e quanti dettagli di sé condivida, né come la condivisione avvenga né, soprattutto, dove.

Il GDPR serve a difendere i dati sensibili delle persone, a regolamentarne la circolazione, a sensibilizzare su cosa sia meglio condividere e cosa no.

Citando gli esperti del Clusit - associazione per la sicurezza informatica italiana -, se nel 2016 la situazione degli attacchi informatici e del cybercrime in Italia faceva presagire che ci si trovava "davanti a uno scenario che si potrebbe definire da incubo", nel 2017 siamo finiti proprio dentro a quell'incubo (l'elaborazione dei dati per l'Italia è avvenuta in collaborazione con il security center di Fastweb).
I primi mesi di questo 2018 e le ultimissime news - "Facebook: Agcom chiede informazioni su impiego dati" - non fanno pensare a un'inversione di questo trend negativo.

Le aziende spesso non sono preparate ad affrontare gli attacchi alla sicurezza informatica o non la reputano una priorità.
L’adeguamento, quindi, deve essere tecnologico ma anche nell’approccio al problema e nella struttura organizzativa.

3. Quali sono le novità introdotte dal GDPR?

Il GDPR, in questo senso, introdurrà la figura del DPO (data protection officer, responsabile della protezione dati), un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.
Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti la protezione dei dati nonché sostenuto nell'esecuzione dei suoi compiti.

Rimanendo in tema di novità, il GDPR prevede anche due nuovi concetti:

1. La privacy by design (l’obbligo di adottare fin dall’inizio del processo produttivo comportamenti per la correttezza, l’integrità, la riservatezza e la sicurezza dei dati)

2. La privacy by default (il dovere di adottare strumenti e modalità di trattamento dei dati in grado di ridurre il rischio).

4. Quali dati sono interessati dalla normativa?

Il GDPR amplia le categorie di dati da proteggere. Non solo quelli personali ma anche:

- dati genetici: ereditati o acquisiti, ottenuti tramite analisi di dna ed rna da un campione biologico della persona fisica in questione

- dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica

- dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte (ad esempio, un medico).

Una curiosità: forse non lo sai ma anche gli pseudonimi rientrano tra i dati da proteggere perché sono considerati dati personali e consentono l'identificazione della persona, anche se indirettamente, tramite incrocio con altre informazioni. Gli pseudonimi, però, sono soggetti a una tutela ridotta rispetto ai dati personali veri e propri.

5. Come rendere sicura la condivisione dei dati?

Per quanto sia delicata, e certe volte pericolosa, la condivisione dei dati è sicuramente necessaria a livello lavorativo.
Senza rinunciarvi si possono trovare 5 requisiti perché la condivisione avvenga in modo sicuro:

1. controllo sicuro da parte dell'IT che include autenticazione e autorizzazione, controllo granulare degli accessi, sicurezza dei dispositivi e reporting

2. opzioni di storage flessibili per soddisfare le diverse esigenze di autorità, conformità, prestazioni e costi in materia di dati

3. integrazione con l'infrastruttura esistente per rendere mobile gli share di rete e i repository di contenuti esistenti

4. un'ottima esperienza utente che favorisca una rapida implementazione per impedire che gli utenti utilizzino servizi personali di condivisione di file

5. supporto per i workspaces di nuova generazione, affinché le persone possano lavorare e collaborare in modo produttivo da qualsiasi luogo.

La soluzione che fa per te
Privacy Cloud
Il software in cloud creato per aiutare gli studi professionali, aziende, DPO e consulenti privacy a gestire gli adempimenti previsti dal GDPR in materia di protezione e sicurezza dei dati personali.