Lo scorso martedì 15 dicembre le istituzioni europee hanno finalmente raggiunto un accordo sulla General Data Protection Regulation (GDPR), la nuova legge che uniforma in tutti i paesi membri dell’EU le norme sul rispetto della privacy dei cittadini.
Come ha commentato Viviane Reding su Twitter, il percorso è stato lungo (3 anni) ma l’importante è che sia arrivato a conclusione.
Mancano ancora alcuni passaggi finali, come il voto del Parlamento Europeo a inizio 2016, ma almeno sul testo della legge c’è la firma delle 3 parti, Consiglio, Commissione e Parlamento. Punto di forza della GDPR è quello di abbattere le barriere tra i 28 Stati Membri e di favorire quindi la nascita di un Digital Single Market.
Che cosa emerge dalla proposta approvata? Il testo consolidato della GDPR è stato pubblicato e può essere liberamente consultato. In sostanza, ai 500 milioni di cittadini EU sono garantiti una serie di principi con riferimento alla protezione dei loro dati personali:
- Un più facile accesso ai propri dati: gli individui potranno conoscere come i propri dati sono elaborati e questa informazione dovrà essere disponibile in modo chiaro e comprensibile.
- Diritto alla data portability: sarà più semplice trasferire i dati personali tra diversi service provider.
- “Right to be forgotten”: gli individui potranno in ogni momento richiedere che i dati che li riguardino non siano più gestiti da provider esterni, che dovranno quindi cancellarli.
- Diritto a sapere se i propri dati sono stati oggetto di un “data breach”: società e organizzazioni dovranno notificare alle autorità nazionali di supervisione se è avvenuto un attacco serio con perdita di dati – in modo che gli utenti possano adottare misure appropriate.
Un impegno invece per gli individui sarà il consenso dei genitori nel caso in cui i figli utilizzino i Social Media (fino a 13 o 16 anni, età che sarà fissata dai singoli Paesi europei).
Per quanto riguarda le imprese, la norma si preoccupa di definire aspetti che beneficino il contesto competitivo complessivo, attraverso principi come:
- One continent, one law: il regolamento impone un set di regole comuni in EU, aspetto che dovrebbe facilitare lo sviluppo di attività simili in più paesi dell’Unione.
- One-stop-shop: le multinazionali potranno scegliere di avere un’unica autorità di supervisione per più Paesi, risparmiando quindi rispetto a quando dovevano affrontare normative ed enti diversi per ogni Paese.
- European rules on European soil: le organizzazioni extra-UE dovranno essere compliant alla norma GDPR nel momento in cui prestano servizi a cittadini EU.
- Approccio Risk-based: le regole non sono identiche per tutti ma sono calate nel contesto della singola situazione, con un approccio basato sul rischio che la singola azienda si trova a gestire.
- Regole pro-innovazione: la GDPR si preoccupa che salvaguardie relative alla Data Protection siano incluse nei prodotti innovativi fin dal loro design iniziale (Privacy-by-design). Saranno inoltre incoraggiate tecniche che anonimizzano i dati – in modo da poter trattare informazioni Big Data in modalità Privacy-friendly.
Ciò nonostante, è evidente che i costi legati alla compliance alla GDPR saranno elevati, perché legati a
- Una revisione delle misure e delle policy interne
- La possibilità di incorrere in pesanti sanzioni
- Costi ulteriori per gli aspetti di Incident Management e Data Breach notification.
Le procedure da mettere in piedi per eventuali notifiche di danni subiti ai database saranno sicuramente onerose, considerando anche il fatto che alla fine è passato un approccio “severo” che prevede comunicazioni entro 72 ore (vedi sotto *).
Inoltre, sono passate nella versione approvata della GDPR:
- La necessità di dotarsi di un ruolo preciso, un Data Protection Officer, nel caso in cui vengano trattate elevate moli di informazioni sulle persone.
- Una responsabilità che in caso di data breaches si estende anche a terze parti coinvolte in attività elaborative – aspetto che avrà molte implicazioni sui modelli di business del cloud.
Le organizzazioni di grande dimensione dovranno prepararsi alla possibilità di dover sostenere costi elevati per cause legali e sanzioni (che possono arrivare al 4% del fatturato) in casi di manifesta violazione della legge, anche come conseguenza dell’introduzione della notifica di possibili data breaches a clienti e autorità.
Continua a leggere l'Articolo
