E’ cominciato il conto alla rovescia, mancano oramai solo 8 mesi all’avvio del GDPR, la nuova normativa EU sulla protezione dei dati personali. Come noto, molte aziende italiane devono ancora cominciare a valutare quale sarà la portata dell’adeguamento delle procedure e infrastrutture interne per essere compliant: molti si renderanno conto quindi nei prossimi mesi che il tempo non basterà per portare a termine l’intero passaggio al GDPR.
Il nuovo Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), che a partire dal 25 maggio 2018 sostituirà la precedente Direttiva 95/46/CE, si basa su alcuni principi generali di grande importanza
- Elaborazione legittima, corretta e trasparente dei dati personali: il Titolare del trattamento (Data Controller) deve avere validi motivi per l’elaborazione dei dati personali.
- Scopo: è necessario avere un motivo chiaro ed esplicito per l’elaborazione dei dati personali.
- Minimizzazione dei dati: il trattamento dei dati deve essere circoscritto per il suo scopo specifico. L’accesso ai dati deve essere concesso solo a coloro che ne hanno bisogno per quel motivo.
- Accuratezza: i dati devono essere corretti e le inesattezze devono essere facilmente sistemate.
- Limiti nell’archiviazione: i dati devono essere conservati solo per il tempo necessario per il particolare scopo del trattamento.
- Integrità e riservatezza: i dati personali devono essere trattati in modo da garantirne la sicurezza, inclusa la protezione contro la non autorizzazione all’accesso e la perdita accidentale, utilizzando opportune misure tecniche o organizzative.
- Responsabilità, o Accountability: il Titolare dei dati deve essere in grado di dimostrare in qualsiasi momento la conformità dei trattamenti ai principi sopra enunciati.
Il GDPR introduce poi novità rilevanti che devono essere a tutti note: le riportiamo e commentiamo singolarmente.
- Un Scopo territoriale più ampio: il regolamento si applica se l’organizzazione o il data subject (la persona di cui si detengono i dati) risiedono in EU, ma anche se un’organizzazione estera tratta dati personali di persone residenti in EU.
- Diritti maggiori per gli interessati: gli utenti avranno oltre al Diritto di Accesso ai propri dati, anche il Diritto all’Oblio (potranno richiedere di cancellare i dati); di Portabilità dei dati (per trasferirli da un titolare del trattamento ad un altro); diritto di Revocare il consenso a determinati trattamenti.
- Sanzioni finanziarie: nei casi più gravi, le aziende potranno subire sanzioni pecuniarie fino a 20 milioni di euro / se superiore, fino al 4% del fatturato mondiale totale annuo. Si tratta di importi molto elevati, superiori a quelli visti in passato. Non va dimenticato però che non saranno i soli costi da sostenere nel malaugurato caso di un data breach … Secondo la Ponemon research, nel 2016 il costo medio di un data breach è stato di 4 milioni di dollari! E la stima di costo per ogni singolo record di dati personali perso o rubato si aggira tra i 155 e i 158 dollari.
- Data Protection by Design and by Default: la norma garantisce i diritti degli interessati fin dalla progettazione di un nuovo prodotto o servizio, attraverso impostazioni predefinite. In questo modo, la privacy entra nel ciclo di vita del prodotto fin dalla sua ideazione: le aziende sono incentivate a utilizzare in modo più ampio soluzioni di sicurezza per la protezione di dati personali.
- Privacy/Data Protection Impact Assessment (PIA/DPIA): la DPIA è una valutazione periodica degli impatti dei trattamenti dei dati personali in corso o previsti, (richiesta solo in caso di trattamenti su larga scala), al fine di identificare i rischi e assicurare la presenza di adeguate misure di protezione. Una DPIA periodica servirà innanzi tutto a garantire la compliance complessiva dei trattamenti al GDPR. Il DPO, figura nuova introdotta dal regolamento, avrà la responsabilità legale di fornire questa valutazione alle autorità che gliela richiedono. Nei casi in cui dalla valutazione d’impatto emergano rischi elevati dai trattamenti effettuati, sarà necessario effettuare una consultazione preventiva presso l’Autorità di controllo.
- Registri dei trattamenti continuamente aggiornati: con il GDPR torna il documento che attesta lo svolgimento di tutte le attività per la compliance (in Italia il DPS della Privacy era stato sospeso dal Governo Monti nel 2012).
- La nuova figura del Data Protection Officer: secondo la nuova norma, il Titolare e il Responsabile nominano il DPO (il responsabile della Protezione dei Dati) in tutti i casi in enti pubblici, se no, se i trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. Il ruolo del DPO (che diventerà quindi una figura comune in grandi aziende che per motivi legati alla gestione del personale, marketing, vendita o produzione trattano quotidianamente grandi molti di dati sulle persone) sarà simile a quello di un Compliance Manager. Non potrà essere un IT Manager per motivi di indipendenza, ma dovrà essere in grado di comprendere come avvengono i trattamenti dei dati e quali sono le misure e le procedure di protezione decise dall’azienda.
- Notifiche di Data Breach: con l’arrivo del GDPR, un’importante novità sarà l’obbligo di notifica di eventuali perdite di dati al Garante (e anche ai singoli soggetti, in casi rilevanti) senza ritardo, entro le 72 ore. La misura, che avrà notevoli impatti anche sul fronte reputazionale, è prevista naturalmente per proteggere le persone nel caso di violazione dei loro dati personali, in tutti i casi in cui – per motivi diversi, non soltanto attacchi hacker – è avvenuta una perdita, distruzione o diffusione involontaria di dati, che avrebbe come conseguenza una perdita di riservatezza e danni per gli interessati. La notifica va però vista come IL MOMENTO CONCLUSIVO di un processo più ampio di Incident Detection, Incident Management e Response, attività ad oggi poco svolte in azienda, che richiederanno investimenti notevoli sul fronte delle misure, procedure e soluzioni informatiche (segnalazione e gestione incidenti, alert e gestione di anomalie da parte degli utenti, rilevazione interna di anomalie tecniche, gestione di gravi incidenti, Business Continuity ecc.).
Con soltanto pochi mesi a disposizione prima dell’avvio del nuovo regolamento, è importante che le aziende siano focalizzate oggi su un percorso di adeguamento il più possibile efficace e tempestivo. Inoltre, data l’ampiezza dell’adeguamento, devono tener conto delle Priorità nel disegno della propria soluzione di GDPR Compliance, come descritte in QUALI SONO LE PRIORITÀ PER LA GDPR COMPLIANCE?
A cura di:
Elena Vaciago,
Associate Research Manager, The Innovation Group