Accordo raggiunto per la GDPR, l’impatto sulle grandi organizzazioni sarà pesante

Accordo raggiunto per la GDPR, l’impatto sulle grandi organizzazioni sarà pesante

Accordo raggiunto per la GDPR, l’impatto sulle grandi organizzazioni sarà pesante

Lo scorso martedì 15 dicembre le istituzioni europee hanno finalmente raggiunto un accordo sulla General Data Protection Regulation (GDPR), la nuova legge che uniforma in tutti i paesi membri dell’EU le norme sul rispetto della privacy dei cittadini.
Come ha commentato Viviane Reding su Twitter, il percorso è stato lungo (3 anni) ma l’importante è che sia arrivato a conclusione.

GDPR 2

Mancano ancora alcuni passaggi finali, come il voto del Parlamento Europeo a inizio 2016, ma almeno sul testo della legge c’è la firma delle 3 parti, Consiglio, Commissione e Parlamento. Punto di forza della GDPR è quello di abbattere le barriere tra i 28 Stati Membri e di favorire quindi la nascita di un Digital Single Market.

Che cosa emerge dalla proposta approvata? Il testo consolidato della GDPR è stato pubblicato e può essere liberamente consultato. In sostanza, ai 500 milioni di cittadini EU sono garantiti una serie di principi con riferimento alla protezione dei loro dati personali:

  • Un più facile accesso ai propri dati: gli individui potranno conoscere come i propri dati sono elaborati e questa informazione dovrà essere disponibile in modo chiaro e comprensibile.
  • Diritto alla data portability: sarà più semplice trasferire i dati personali tra diversi service provider.
  • “Right to be forgotten”: gli individui potranno in ogni momento richiedere che i dati che li riguardino non siano più gestiti da provider esterni, che dovranno quindi cancellarli.
  • Diritto a sapere se i propri dati sono stati oggetto di un “data breach”: società e organizzazioni dovranno notificare alle autorità nazionali di supervisione se è avvenuto un attacco serio con perdita di dati – in modo che gli utenti possano adottare misure appropriate.

Un impegno invece per gli individui sarà il consenso dei genitori nel caso in cui i figli utilizzino i Social Media (fino a 13 o 16 anni, età che sarà fissata dai singoli Paesi europei).

Per quanto riguarda le imprese, la norma si preoccupa di definire aspetti che beneficino il contesto competitivo complessivo, attraverso principi come:

  • One continent, one law: il regolamento impone un set di regole comuni in EU, aspetto che dovrebbe facilitare lo sviluppo di attività simili in più paesi dell’Unione.
  • One-stop-shop: le multinazionali potranno scegliere di avere un’unica autorità di supervisione per più Paesi, risparmiando quindi rispetto a quando dovevano affrontare normative ed enti diversi per ogni Paese.
  • European rules on European soil: le organizzazioni extra-UE dovranno essere compliant alla norma GDPR nel momento in cui prestano servizi a cittadini EU.
  • Approccio Risk-based: le regole non sono identiche per tutti ma sono calate nel contesto della singola situazione, con un approccio basato sul rischio che la singola azienda si trova a gestire.
  • Regole pro-innovazione: la GDPR si preoccupa che salvaguardie relative alla Data Protection siano incluse nei prodotti innovativi fin dal loro design iniziale (Privacy-by-design). Saranno inoltre incoraggiate tecniche che anonimizzano i dati – in modo da poter trattare informazioni Big Data in modalità Privacy-friendly.

Ciò nonostante, è evidente che i costi legati alla compliance alla GDPR saranno elevati, perché legati a

  • Una revisione delle misure e delle policy interne
  • La possibilità di incorrere in pesanti sanzioni
  • Costi ulteriori per gli aspetti di Incident Management e Data Breach notification.

Le procedure da mettere in piedi per eventuali notifiche di danni subiti ai database saranno sicuramente onerose, considerando anche il fatto che alla fine è passato un approccio “severo” che prevede comunicazioni entro 72 ore (vedi sotto *).

Inoltre, sono passate nella versione approvata della GDPR:

  • La necessità di dotarsi di un ruolo preciso, un Data Protection Officer, nel caso in cui vengano trattate elevate moli di informazioni sulle persone.
  • Una responsabilità che in caso di data breaches si estende anche a terze parti coinvolte in attività elaborative – aspetto che avrà molte implicazioni sui modelli di business del cloud.

Le organizzazioni di grande dimensione dovranno prepararsi alla possibilità di dover sostenere costi elevati per cause legali e sanzioni (che possono arrivare al 4% del fatturato) in casi di manifesta violazione della legge, anche come conseguenza dell’introduzione della notifica di possibili data breaches a clienti e autorità.
Continua a leggere l'Articolo