ll Regolamento Generale sulla Protezione dei Dati (GDPR) sostituisce la direttiva EU del 1995 sulla protezione dei dati 95/46/EC. Il GDPR è stato realizzato per potenziare e unire i diritti sulla privacy online e la protezione dei dati per gli individui dell’Unione Europea (EU) e al tempo stesso per velocizzare gli obblighi in materia di protezione dei dati delle imprese al servizio dei cittadini EU attraverso la diffusione di un unico Regolamento al posto delle 28 leggi nazionali.

L’8 aprile del 2016 il Consiglio ha adottato il GDPR e la Direttiva a questo associata e il successivo 14 aprile sono stati adottati anche dal Parlamento Europeo. Il 4 maggio 2016, i testi ufficiali del Regolamento e della Direttiva sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea. Il Regolamento verrà applicato a partire dal 25 maggio 2018.

 

Cosa cambia?

Di seguito le novità principali:

• ll diritto di conoscere quando i dati di un individuo sono stati violati: le aziende e le organizzazioni devono segnalare all’autorità di supervisione nazionale per le violazioni dei dati quali sono gli individui in pericolo ecomunicare alla persona interessata tutte le violazioni ad alto rischio nelpiù breve tempo possibile, così che gli utenti possano adottare le adeguate contromisure.
• Migliorare l’applicazione delle regole: le autorità per la protezione dei dati dovranno essere in grado di multare le imprese non conformi alle normative EU fino al 4% del loro fatturato annuo totale. Le sanzioni amministrative non sono obbligatorie e nel caso si decida di imporle dovranno essere decise caso per caso e dovranno essere efficaci, proporzionate e dissuasive.
• Un continente, una legge: un’unica legge pan- europea per la protezione deidati, che sostituisce il mosaico formato da tutte le leggi nazionali. Le aziende dovranno confrontarsi con un’unica legge, non 28. I benefici sono stimati in 2.3 miliardi di euro l’anno.
• Le organizzazioni devono segnalare all’autorità nazionale le gravi violazioni di dati il prima possibile (meglio se entro 24 ore).
• Il Regolamento si applica integralmente anche alle aziende situate fuori dall'Unione Europea che operano nel mercato comunitario, offrono servizi e prodotti ai cittadini europei (inclusi i beni e i servizi gratuiti), e infine controllano il comportamento degli individui dell'Unione Europea.
• Protezione dei dati in fase di progettazione e in modalità predefinita: "la protezione dei dati by design" e "la protezione dei dati by default" ora sono elementi essenziali nelle regole di protezione dei dati dell'Unione Europea. La garanzia sulla protezione dei dati sarà prevista nei prodotti e nei servizi già dalle prime fasi del loro sviluppo e le impostazioni predefinite per la tutela della privacy saranno la norma.

Per rafforzare la protezione dei dati l’Unione Europea sta rendendo obbligatorio per le aziende proteggere adeguatamente i dati riservati, definiti come:

 

qualsiasi informazione che identifichi o che permetta di identificare una persona fisica a cui ci si riferirà in seguito come 'soggetto dei dati'; una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante un numero identificativo o da uno o più fattori specifici relativi alla sua identità fisica, psicologica, mentale, economica, culturale o sociale

Questa ampia definizione dei dati personali si estende facilmente ai documenti più semplici che riguardano, persino indirettamente, i clienti, gli utenti, il personale, gli studenti e ogni altro documento relativo all’individuo.

 

Cosa dice il regolamento sulla protezione dei dati?

L'articolo 32 in sostanza dice che:

Considerando lo stato dell’arte, i costi di implementazione e la loro natura, la portata, il contesto e le finalità del trattamento dei dati come anche le variabili legate ai rischi per i diritti e la libertà delle persone fisiche, il sistema di controllo e trattamento dei dati verrà implementato con misure tecniche e organizzative per assicurare un livello di sicurezza adeguato ai rischi, che include a seconda dei casi:

1. l’utilizzo di pseudonimi e la crittografia dei dati personali;
2. la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
3. la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici;
4. un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.

 

Come faccio a segnalare?

L’articolo 33 prevede la notifica di una violazione dei dati personali all'autorità di vigilanza e stabilisce che l'autorità venga avvisata, ove fattibile, entro e non oltre 72 ore dal momento in cui l’organizzazione in questione viene a conoscenza della violazione stessa (se oltre, va giustificato il ritardo).

L’articolo 34 si riferisce alla comunicazione della violazione dei dati personali al soggetto interessato e afferma che:

 

Nel caso in cui la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone, il controllore dovrà comunicare tale violazione al proprietario dei dati senza indebito ritardo.

Tuttavia, prosegue affermando che:

 

La comunicazione al proprietario dei dati, come indicato nel paragrafo 1, non sarà richiesta se viene rispettata almeno una delle seguenti condizioni:

1. il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative e queste misure sono state applicate ai dati personali oggetto della violazione. Si fa particolare riferimento a quelle tecnologie che rendono i dati personali illeggibili per qualsiasi persona non autorizzata ad accedervi, come ad esempio la crittografia;
2. il controllore ha adottato successive misure tali da assicurare che l’elevato rischio per i diritti e le libertà delle persone, come indicato nel paragrafo 1, non si possa concretizzare;
3. comporta uno sforzo sproporzionato. In questo caso ci sarà una comunicazione pubblica o di natura simile in grado di informare le persone interessate in maniera altrettanto efficace.

Alcune ricerche hanno dimostrato che, nelle precedenti violazioni dei dati, le conseguenze più gravi sono ai danni dell’organizzazione coinvolta (in termini soprattutto di reputazione dell’azienda).

Quali misure dovrò adottare?

Il Regolamento obbliga le aziende di qualsiasi dimensione ad adottare un nuovo insieme di processi e politiche volte a dare alle persone un maggiore controllo sui propri dati personali. Ciò comporterà la scrittura di nuovi processi e manuali, la riqualificazione del personale e l’aggiornamento di sistemi per attuare queste nuove procedure. Altri passaggi prevedono misure pratiche, come l’utilizzo della crittografia nel caso in cui i dati siano esposti a rischio.

Ad esempio, un notebook o una chiavetta USB smarrita o sottratta non si trasformerà in una catastrofe se è stata criptata con un prodotto conforme.

... e chi mi aiuta?

Come sempre i tecnici di SIPRA Engineering sono a completa disposizione per analizzare la struttura, le procedure, l'esistenza di dati sensibili e il modo in cui sono trattati per indicare le soluzioni corrette per la gestione della problematica. Chiamaci allo 0510546339 o contattaci tramite il modulo, l'analisi è completamente gratuita!

 

Fonte: Quick-Guide-to-GDPR-v10.pdf, http://www.eset.it