Il GDPR è il nuovo Regolamento Generale sulla Protezione dei Dati che mira a rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e dei residenti dell’Unione Europea, all’interno e all’esterno dei confini dell’UE. Il Testo è entrato in vigore il 25 maggio 2016 ma avrà efficacia per tutti i 28 Stati dell’Unione Europea (compresa l’Italia) a partire dal 25 maggio 2018. Questo comporta una serie di nuovi obblighi in materia di privacy. Il nuovo regolamento sulla protezione dei dati personali verrà applicato a tutti i titolari o responsabili che hanno dati personali di cittadini europei. Questo significa che verrà applicato sia alle imprese che ad enti ed organizzazioni in generale. Inoltre, a differenza dell’attuale direttiva, il nuovo regolamento si applica anche ai titolari di dati personali di residenti nell’Unione Europea con sede legale fuori dai confine europei. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). I principi base di trattamento dei dati personali sono definiti dall’art. 5 della nuova normativa, basato su un approccio accountability, secondo cui i dati personali devono essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
- raccolte per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati);
- conservati per il periodo indicato al momento della concessione del trattamento.
Il consenso al trattamento dei dati personali serve per ogni stratificazione, cioè per ogni finalità indicata e l’utente deve essere messo in condizione di poter accedere a tali dati in ogni momento; di poter effettuare aggiornamenti (rettifica dei dati) e di esercitare il diritto all’obblio, ovvero il diritto alla cancellazione dei dati in ogni momento. Importante è il diritto alla portabilità dei dati, ovvero, l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare senza impedimenti.
Gli effetti di questa nuova normativa per gli utenti è che sono più consapevoli sul tema della protezione dei dati personali. L’effetto nei confronti delle PMI è che i costi per adeguare i propri sistemi sarannò molto alti perchè non hanno una struttura organizzativa interna in grado di farsene carico, e dipenderà caso per caso dalla tipologia e dalla situazione di partenza dell’impresa. Se prima di questa normativa, i costi per la protezione dei dati erano bassi con ricavi alti, con il GDPR ci sarannò alti costi con ricavi dimezzati. Il GDPR porterà anche ad una modifica della strategia aziendale, se prima, un’azienda pianificava la propria attività sulla base di tre elementi: bisogni utente, sostenibilità business e fattibilità tecnologica; adesso deve considerare anche il GDPR, che diventa una componente importante del business aziendale. I software che le aziende dovrannò usare per la protezione dei dati dovrannò raccogliere informazioni che sono un utili sia per l’esperienza dell’utente che per il business, eliminando le informazioni che non rientrano in questa relazione. In caso di violazione dei dati personali, il titolare del trattamento deve comunicare la violazione all’autorità di controllo competente, entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica della violazione non sia effettuata entro 72 ore, la notifica all’autorità di controllo deve essere corredata dai motivi del ritardo. Inoltre, quando la violazione dei dati personali presenti un elevato rischio per i diritti e la libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione all’interessato senza ingiustificato ritardo, con un linguaggio semplice e chiaro. Per quanto riguarda le sanzioni saranno molto pesanti: il valore più alto tra 20 Milioni euro e il 4% del fatturato. Sulla scia di questa situazione stanno nascendo e nasceranno anche molte offerte assicurative. E comunque un’impresa che non garantirà la protezione dei dati personali ai propri utenti, di fatto avrà una perdita di immagine.
La domanda che ci facciamo è questa: il GDPR potrebbe rivelarsi una opportunità oppure una minaccia? Per noi cittadini europei è una opportunità perché possiamo riappropriarci dei nostri dati personali e del tanto sospirato rispetto della nostra privacy. Ma anche per le aziende che imposteranno il rispetto alla privacy in senso strategico potrebbe rivelarsi un vantaggio, in quanto vedranno necessariamente rafforzata la fiducia e la fidelizzazione degli utenti. Grandi opportunità ci saranno per tutte quelle organizzazioni che offrono supporto e consulenze legali. Ogni Azienda, se non prevede al suo interno figure di questo tipo, dovrà necessariamente appoggiarsi nel percorso di adeguamento al GDPR a figure esterne qualificate e certificate, esperti in diritto informatico, che conoscano perfettamente tutti gli articoli della normativa e le loro implicazioni.
Per ultimo ci saranno interessanti vantaggi per il settore tecnologico. La tecnologia assumerà un ruolo importantissimo nel processo di compliance al GDPR, potrà addirittura rappresentare un ruolo chiave. Vi saranno interessanti opportunità per i vendor tecnologici che offriranno alle aziende un supporto con soluzioni e strumenti efficaci e servizi consulenziali di competenti esperti in sicurezza.
La SI-IES da tempo segue l’argomento della riservatezza, della tutela e protezione dei dati personali e delle policy di gestione degli stessi. Ha attuato insieme a diversi studiosi e professionisti del settore delle ricerche in merito, prendendo in analisi normative e regolamenti, costruendo anche dei progetti formativi ed un master in DPO (Data Protection Officer) in collaborazione con la Marconi International, divulgando e supportando l’adeguamento alle nuove normative del regolamento europeo.
