GDPR – Il regolamento generale sulla protezione dei dati

Il Parlamento europeo ha adottato il GDPR nell’aprile 2016, sostituendo una direttiva obsoleta sulla protezione dei dati risalente al 1995.

La nuova normativa prevede disposizioni che impongono alle imprese di proteggere i dati personali e la privacy dei cittadini dell’UE per le transazioni che avvengono all’interno degli Stati europei e regola anche l’esportazione di dati personali al di fuori dell’UE.

Le disposizioni sono coerenti in tutti i 28 Stati membri dell’UE, il che significa che le società hanno un solo standard da rispettare all’interno dell’UE. Tuttavia, tale standard è piuttosto elaborato e richiederà alla maggior parte delle aziende un investimento consistente da soddisfare e da amministrare.

Perché esiste il GDPR?
La breve risposta a questa domanda è la preoccupazione pubblica per la privacy. L’Europa in generale ha sempre avuto regole più severe su come le aziende utilizzano i dati personali dei propri cittadini. Il GDPR sostituisce la direttiva sulla protezione dei dati dell’UE, che è entrata in vigore nel 1995, ovvero molto prima che Internet diventasse il centro di comunicazione mondiale online che è oggi. Di conseguenza, la direttiva è obsoleta e non affronta molti dei modi in cui i dati vengono archiviati, raccolti e trasferiti oggigiorno.

Quanto è reale la preoccupazione dell’opinione pubblica rispetto alla privacy?
Secondo RSA (Data Privacy & Security Report), che ha intervistato 7.500 consumatori in Francia, Germania, Italia, Regno Unito e Stati Uniti, l’80% dei consumatori ha dichiarato che i dati bancari e finanziari persi rappresentano la principale preoccupazione. Le informazioni sulla sicurezza perse (ad es. Password) e le informazioni sull’identità (ad es. Passaporti o patente di guida) sono state citate come fonte di preoccupazione del 76% degli intervistati.

Una statistica allarmante per le aziende che si occupano di dati dei consumatori è che il 62 per cento degli intervistati del rapporto RSA affermato che incolperebbe la società titolare del trattamento per i dati persi in caso di violazione, piuttosto che l’hacker. Gli autori del rapporto hanno concluso che “man mano che i consumatori diventano meglio informati, si aspettano maggiore trasparenza e reattività dagli amministratori dei loro dati”.

La mancanza di fiducia nel modo in cui le aziende trattano le loro informazioni personali ha portato alcuni consumatori a prendere le proprie contromisure. Secondo il rapporto, il 41% degli intervistati ha dichiarato di aver intenzionalmente falsificato i dati al momento della registrazione per i servizi online. Preoccupazioni per la sicurezza, il desiderio di evitare il marketing indesiderato o il rischio che i loro dati fossero rivenduti erano tra le principali preoccupazioni.

Il rapporto mostra anche che i consumatori non perdonerebbero facilmente un’azienda titolare del trattamento dei propri dati in caso di una violazione degli stessi al punto che il 72% degli intervistati ha dichiarato che agirebbe boicottando la società che non havesse dimostrato cura e attenzione nella protezione dei propri dati.

“Mentre le aziende continuano le loro trasformazioni digitali, facendo un uso maggiore di risorse digitali, servizi e big data, devono anche essere responsabili del monitoraggio e della protezione di tali dati su base giornaliera”, ha concluso il rapporto.

Quali tipi di dati sulla privacy protegge il GDPR?

• Informazioni di base sull’identità come nome, indirizzo e numeri di identificazione
• Dati Web come posizione, indirizzo IP, dati dei cookie e tag RFID
• Salute e dati genetici
• Dati biometrici
• Dati razziale o etnico
• Opinioni politiche
• Orientamento sessuale

Quali aziende sono interessate dal GDPR?
Qualsiasi azienda che memorizzi o elabori informazioni personali sui cittadini dell’UE all’interno degli stati dell’UE deve rispettare il GDPR, anche se non hanno una presenza commerciale all’interno dell’UE. I criteri specifici per le aziende che devono conformarsi sono:

• Una presenza in un paese dell’UE.
• Nessuna presenza nell’UE, ma elabora i dati personali dei residenti europei.
• Più di 250 dipendenti.
• Meno di 250 dipendenti, ma il trattamento dei dati influisce sui diritti e le libertà degli interessati, non è occasionale o include determinati tipi di dati personali sensibili. Ciò significa in pratica quasi tutte le società.

Esiste un termine per la conformazione al provvedimento?
Le aziende devono essere in grado di dimostrare la conformità entro il 25 maggio 2018.

Chi all’interno dell’azienda sarà responsabile della conformità?
Il GDPR definisce diversi ruoli responsabili della conformità: controllore dei dati, responsabile del trattamento dei dati e responsabile della protezione dei dati (DPO). Il responsabile del trattamento definisce come vengono elaborati i dati personali e gli scopi per i quali viene elaborato. Il controllore è anche responsabile di assicurarsi che gli appaltatori esterni siano conformi.

I responsabili del trattamento dei dati possono essere i gruppi interni che gestiscono e trattano i dati personali o qualsiasi società di outsourcing che svolge tutte o parte di tali attività. Il GDPR detiene i processori responsabili di violazioni o non conformità. È possibile, quindi, che sia la società che il partner di elaborazione, ad esempio un fornitore di servizi cloud, siano responsabili delle sanzioni anche se l’errore è interamente del partner di elaborazione.

Il GDPR richiede al controller e al processore di designare un DPO per supervisionare la strategia di sicurezza dei dati e la conformità GDPR.