A cura di Gianfranco Gargiulo, Cloud Consultant di Orange Business Services
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento europeo sulla Protezione dei Dati Personali (General Data Protection Regulation o GDPR) che diventerà definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018.
Il “nuovo pacchetto protezione dati” così come è stato ribattezzato dal nostro Garante Privacy, sarà la normativa più ampia mai creata in Europa per governare la sicurezza e la gestione dei dati personali.
General Data Protection Regulation
Questo Regolamento si pone come obiettivo la restituzione ai cittadini del controllo dei propri dati personali mediante l’introduzione di regole più chiare in materia di informativa e consenso, la definizione di nuovi diritti dei cittadini come il diritto all’oblio e l’imposizione di criteri rigorosi per i casi di violazione dei dati stessi (data breach). Sarà direttamente applicabile e vincolante in tutti i 28 Stati membri dell’Unione Europea e non richiederà una legge di recepimento nazionale.
Il nuovo regolamento GDPR è stato progettato per rafforzare e unificare la protezione dei dati all’interno dell’Unione Europea ma affronta anche il tema del trasferimento dei dati personali al di fuori dell’UE. Le organizzazioni USA che trattano i dati di cittadini dell’Unione Europea dovranno rispettare la normativa, anche se non fossero presenti in nessuna nazione europea: gli operatori di siti web commerciali o di applicazioni mobili negli Stati Uniti possono rientrare in questa categoria, insieme con i quei fornitori di servizi basati negli Stati Uniti che supportano i rivenditori europei.
Il GDPR avrà importanti ripercussioni per le imprese che utilizzano il cloud, così come per i fornitori di cloud, per i team IT e di security che dovranno iniziare a destinare risorse per prepararsi e adeguarsi alla nuova normativa.
Per coloro che non si adegueranno, le multe saranno salate. La normativa prevede regolari verifiche periodiche sulla protezione dei dati e sanzioni per le imprese fino a 20 milioni di euro o fino al 2% del fatturato mondiale annuo dell’anno precedente.
Grandi cambiamenti in vista
Il GDPR dà un giro di vite alle regole per ottenere il consenso per utilizzare le informazioni personali. La normativa richiede che tutte le organizzazioni che raccolgono dati personali dimostrino di avere il pieno consenso per elaborare i dati in questione.
Uno dei cambiamenti maggiori introdotti dal GDPR è l’attribuzione delle responsabilità. In precedenza, solo coloro che controllavano i dati erano considerati responsabili per le attività di trattamento dei dati, mentre la nuova normativa si applica a tutti coloro che entrano in contatto con i dati personali, compresi i fornitori di servizi.
C’è anche un cambiamento radicale nella segnalazione di violazione dei dati personali. Il GDPR richiederà infatti alle aziende di segnalare alle Autorità Nazionali di protezione dei dati eventuali violazioni entro 72 ore “quando possibile”, e di informare in modo chiaro ed immediato anche tutti gli interessati nel caso in cui la violazione possa tradursi in un rischio per i diritti e la libertà degli individui. Questo potrebbe essere potenzialmente molto oneroso per le imprese.
I responsabili del trattamento dei dati dovranno anche effettuare valutazioni d’impatto sulla privacy (Privacy Impact Assessments o PIA) nei casi in cui i rischi di violazione della privacy siano alti, così da ridurre al minimo i rischi per gli interessati.
Il controverso “diritto all’oblio” è parte del GDPR. Questo darà fondamentalmente agli utenti il diritto di ottenere la cancellazione dei propri dati da parte delle aziende in qualsiasi momento.
Inoltre, dovranno essere nominati dei Responsabili della Protezione dei Dati (RPD) da tutte le autorità pubbliche e le imprese in cui le attività principali si concentrino su “un monitoraggio regolare e sistematico dei soggetti dei dati su larga scala”, o dove si trattino su larga scala “categorie particolari di dati personali”.
Pronti per il GDPR?
Queste sono solo alcune delle trasformazioni che il GDPR è destinato a portare. Ma sembra che molte organizzazioni siano impreparate: in un sondaggio effettuato da Ipswitch oltre la metà degli intervistati non ha saputo identificare con precisione cosa fosse. Inoltre, il 52% ha ammesso di non essere pronto. Il 69% dei professionisti IT, inoltre, ritiene che sarà necessario investire in nuove tecnologie e servizi per prepararsi all’impatto del GDPR.
I risultati preliminari di un’indagine condotta dal Centre for Information Policy Leadership (CIPL) in collaborazione con AvePoint sottolineano come la maggior parte delle imprese non sono ancora conformi al GDPR, pur essendone al corrente.
Sembra che nemmeno le applicazioni siano pronte per il GDPR. Secondo una ricerca condotta da Netskope, il 75% di più di 22.000 applicazioni tracciate da esso non passerebbe un controllo UE sulla riservatezza dei dati. La maggior parte di queste violazioni (73,6%) proviene da applicazioni di cloud storage. Le caratteristiche principali che mancano sono la cancellazione tempestiva dei dati personali e i requisiti di portabilità dei dati.
Due anni non sono molti
Il 2018 può sembrare ancora lontano nel tempo, ma le imprese non dovrebbero lasciare questo punto in sospeso. Adeguarsi al GDPR sarà una sfida per molte imprese e non uno sforzo che potrà essere rimandato all’ultimo minuto.
Per cominciare, le imprese dovranno iniziare subito una revisione del loro stato IT e creare o aggiornare le politiche per la gestione delle informazioni personali e la sicurezza, comprese le procedure di preavviso di violazione della sicurezza e le valutazioni dei rischi. Dovranno anche rivedere la protezione dei dati nei contratti con i fornitori e clienti. Alcune imprese dovranno anche pensare alla formazione o il reclutamento delle nuove figure di Responsabili della Protezione dei Dati.
General Data Protection Regulation e Cloud Computing
La sicurezza dei dati sul cloud e la mancanza di una regolamentazione univoca sul trattamento dei dati personali all’ interno dell’ UE hanno in passato creato notevoli problemi per le aziende. È cruciale che le imprese adottino da subito le misure necessarie per sapere dove si trovano i loro dati sia all’interno dell’organizzazione sia nel cloud, e per capire quali siano i nuovi obblighi introdotti dal nuovo Regolamento così da poterli opportunamente gestire. Il GDPR potrà essere utilizzato dalle aziende innovative per effettuare una trasformazione delle loro applicazioni in modalità cloud e sfruttare la libertà di trasferimento dei dati in un mercato più aperto alla concorrenza. Le aziende che invece non lo faranno per tempo si troveranno ad affrontare una situazione ancora più complicata.
