Il GDPR incorpora una serie di nuovi elementi per quanto riguarda la protezione dei dati che richiederanno alle organizzazioni di modificare i loro requisiti di conformità
Di Massimo Ceresoli, Head of Global Services – Southern and Central Europe at Orange Business Services
Il Regolamento europeo sulla Protezione dei Dati Personali (General Data Protection Regulation o GDPR) è destinato a cambiare in modo sostanziale il modo in cui le organizzazioni affrontano la protezione dei dati dei clienti, e avrà importanti ripercussioni sui programmi di governance dell’identità e sulle strategie per la sicurezza aziendali.
La battaglia per la protezione dei dati personali sta per fare un enorme balzo in avanti. A partire da maggio 2018, qualsiasi organizzazione che gestisce dati dei cittadini dell’UE dovrà rispettare il Regolamento europeo sulla Protezione dei Dati Personali (GDPR) – al cui centro sta proprio il diritto fondamentale alla privacy dei dati.
Il GDPR amplia notevolmente la definizione di “dati personali”. Secondo questa legge, con “dati personali” si intendono tutte le informazioni sulla base delle quali una persona può essere identificata, direttamente o indirettamente. Oltre ai dati personali, include anche l’identità sociale e online della persona, che sia fisica, psicologica, genetica, mentale, culturale o economica. Allo stesso tempo, il GDPR ha spostato i paletti e ha esteso la responsabilità dei dati non solo a chi li controlla: sarà applicabile a tutte le organizzazioni che raccolgono, ottengono, memorizzano, elaborano e trasmettono dati appartenenti ai cittadini dell’UE.
Questa legge cambierà radicalmente il modo in cui le organizzazioni proteggono e dispongono dei dati dei propri clienti, offrendo ai cittadini dell’UE un maggiore controllo sui propri dati personali e sul modo in cui vengono raccolti e utilizzati.
Coloro che non si adegueranno rischiano di incorrere in multe salate: fino a 20 milioni di euro o il 4% del fatturato mondiale annuo dell’anno precedente – a seconda di quale dei due valori sia il più alto. Anche se la legge si applica solo ai dati dei cittadini dell’UE, tutte le organizzazioni che operano nell’UE devono rispettarla, il che in sostanza la rende una legge globale in materia di protezione dei dati.
C’è però una buona notizia. In base al GDPR, le organizzazioni dovranno avere a che fare con una sola autorità di vigilanza, anziché con una diversa per ciascuno Stato membro. Ciò semplifica il processo e riduce i costi amministrativi.
I punti chiave
Il GDPR incorpora una serie di nuovi elementi per quanto riguarda la protezione dei dati che richiederanno alle organizzazioni di modificare i loro requisiti di conformità.
In base al GDPR, tutte le organizzazioni che raccolgono dati personali devono dimostrare di avere ottenuto un consenso chiaro e netto per elaborare tali dati. Il silenzio, la mancanza di una risposta o l’utilizzo di caselle in cui è già stata inserita una spunta non saranno considerati “consenso”. Senza un consenso valido da parte degli utenti, le attività di trattamento dei dati personali possono essere bloccate dalle autorità di regolamentazione. Inoltre, la legislazione estende il diritto di accesso dell’utente, consentendogli di sapere da chi controlla i dati se i propri dati personali siano in corso di elaborazione, dove vengono elaborati e come verranno utilizzati.
Il GDPR introduce anche il concetto di portabilità dei dati, conferendo al soggetto interessato il diritto di ottenere i dati personali in un “formato comunemente utilizzato e leggibile” e, se lo desidera, di trasmettere i dati a un altro ente di controllo.
Le persone avranno anche il diritto all’oblio, cioè di chiedere a chi controlla i dati di cancellare le loro storie personali, di cessare di usare i loro dati e potenzialmente di fermare le terze parti che li utilizzino.
Confessa (o finirai all’inferno)
Sono previsti anche obblighi per le organizzazioni che rivelano di aver subito violazioni dei dati personali, che devono segnalarle all’Ufficio del Commissario delle Informazioni (Information Commissioner’s Office o ICO), quando possibile entro 72 ore. Se la violazione può incidere sui diritti degli interessati, è anche necessario notificarli direttamente. Quando i rischi di violazione della privacy dei dati sono elevati, le organizzazioni saranno tenute a eseguire valutazioni di impatto sulla privacy (Privacy Impact Assessments o PIA) obbligatorie per garantire la conformità. Gli audit di privacy e i PIA diventeranno una parte routinaria delle strategie di sicurezza.
Alcune organizzazioni dovranno assumere o formare responsabili della protezione dei dati (data protection officers o DPO). Il GDPR delinea le circostanze in cui i responsabili dei dati devono nominare un responsabile della protezione dei dati, cioè là dove le “attività fondamentali” richiedono il “monitoraggio regolare e sistematico dei dati dei soggetti su larga scala” o processino “particolari categorie di dati su larga scala”.
I DPO saranno tenuti a relazionarsi con l’ICO e a monitorare compliance e formazione del personale. Uno studio condotto dall’Associazione Internazionale dei Professionisti della Privacy (International Association of Privacy Professionals, IAPP) stima che l’entrata in vigore del GDPR renderà necessari almeno 28.000 DPO, solo in Europa e negli Stati Uniti. Le stime prevedono il GDPR creerà 75,000 posizioni di DPO a livello mondiale.
Essere pronti per il GDPR
Il maggio 2018 non è lontano, e le aziende che non sono pronte per il GDPR devono fare i preparativi necessari per non rischiare di incorrere in forti multe. Le organizzazioni devono integrare il GDPR nelle loro strategie di sicurezza dell’informazione.
Le organizzazioni, se ancora non lo hanno fatto, devono eseguire un’analisi dei loro dati per avere un quadro completo di ciò che possiedono e di cosa deve essere protetto sotto il GDPR; chiarire precisamente chi ha bisogno di accedere a questi dati, sia internamente che tramite stakeholder di terze parti; accertare di preciso quanto questi dati sono protetti. Allo stesso tempo, devono assicurarsi che esista un meccanismo conforme al GDPR per informare i soggetti interessati e ottenere il loro consenso per l’utilizzo dei dati.
La gestione della documentazione deve prevedere per policy la conservazione duratura dei documenti, evitando qualsiasi duplicazione e garantendo la possibilità di rintracciare il momento in cui sono stati creati.
Saranno necessarie esercitazioni per simulare violazioni della sicurezza. Le organizzazioni dovranno eseguire una valutazione d’impatto per evidenziare eventuali rischi associati all’elaborazione dei dati, e in caso di violazione, dovranno predisporre un meccanismo per informare le autorità e gli utenti interessati.
GDPR – una colonna portante per la privacy
In futuro il GDPR sarà una colonna portante sia per la privacy dei dati che per la governance. La salvaguardia dei dati dovrà essere sulla fatta sulla base del “bisogno di sapere” e la sicurezza delle informazioni e le strategie di privacy dovranno essere riesaminate per garantire la conformità al GDPR.
Maggiori informazioni sul GDPR e su come farsi trovare preparati sono disponibili a questo link.
