Cos’è il GDPR, cosa cambia per la privacy e perché le aziende stanno correndo ai ripari
Il prossimo 25 maggio entrerà in vigore in Europa, in Italia e negli altri 27 paesi che costituiscono l'Unione Europea, il "Regolamento generale sulla protezione dei dati", meglio noto come GDPR (General Data Protection Regulation). Lo avrete notato per le molte notifiche che portali e servizi vi hanno inviato riguardo la privacy. Si tratta di un regolamento europeo che sta facendo molto discutere per la sua complessità e per le tante interpretazioni che sono emerse. Va detto che il testo del regolamento è stato adottato il 27 aprile 2016 e ora, dopo quasi due anni, si appresta ad entrare in vigore. Tutte le aziende – quindi, come si legge nel regolamento, tutti coloro che trattano dati personali degli utenti – devono adeguarsi allo stesso regolamento. Si tratta quindi di aziende, piccole, medie e grandi, e di professionisti, che devono organizzare meglio la gestione dei dati, introducendo il principio della "responsabilità" della gestione dei dati stessi, quella che nel regolamento va sotto la voce "accountability". Ed è proprio questo l'aspetto più importante del regolamento.
Il "Regolamento generale sulla protezione dei dati", noto come GDPR, sta per diventare effettivo, mancano infatti ormai pochi giorni per il 25 maggio, e sale la febbre, tra le aziende e i professionisti, per mettersi in regola. Il regolamento, in sintesi, è molto chiaro: se l'azienda, l'organizzazione, tratta dei dati personali di utenti, indipendentemente da dove risiedano, la stessa azienda deve adeguarsi al regolamento. L'aspetto rilevante della novità è che è il responsabile del trattamento dei dati che deve dimostrare tutte le garanzie di protezione dei dati stessi. Responsabilità che va poi certificata da un soggetto terzo. L'azienda deve quindi dotarsi di persone che metteranno in pratica la modalità di gestione e di protezione dei dati anche perché, nel caso in cui l'azienda non dovesse uniformarsi al regolamento, le multe previste sono davvero molto salate (fino a 20 milioni di euro).
Il primo aspetto che le aziende devono affrontare è quello di informare gli utenti su come si adopereranno per proteggere i loro dati, e questo dovrà essere ben chiaro all'interno della "Informativa", e quello che è scritto in quel documento è quello che le aziende devono essere poi in grado di fare. Poi si deve passare alla valutazione del rischio, le aziende dovranno realizzare anche delle fasi che prevedano interventi, specificando quali tipi di interventi. Dovranno anche redigere il "Registro del Trattamento" (non obbligatorio per le aziende con meno di 250 dipendenti), all'interno del quale verranno inseriti i dati del titolare del trattamento, la descrizione, le finalità del trattamento. E poi le aziende devono provvedere alla nomina di un Digital Privacy Officer (DPO), una figura che diventa l'elemento fondamentale per la corretta applicazione del regolamento.
La necessità dell'approvazione del regolamento viene dal fatto che viviamo un'era che è sempre di più digitale ed è sempre più necessaria una maggiore protezione dei dati degli utenti. I casi di violazione di aziende negli ultimi anni hanno messo in luce una carenza di gestione con una dispersione enorme di dati di persone, senza che le aziende avessero previsto protezioni adeguate. È quindi una risposta ad una elevata sofisticazione degli attacchi che hanno come obiettivo quello di impossessarsi dei dati personali degli utenti. E quindi cosa cambia per gli utenti con il GDPR? Sono 3 gli aspetti principali, e cioé:
- Il Diritto all’Oblio – l’utente può far valere il diritto di ottenere la cancellazione dei propri dati personali. In sostanza, l'utente ha la possibilità di ritirare il consenso al trattamento dei suoi dati e, di conseguenza, l'azienda deve provvedere a cancellare completamente i dati che ha archiviato.
- Il Diritto alla Portabilità dei dati – questo punto del GDPR garantisce all’utente la possibilità di scaricare i propri dati e di trasferirli altrove. L'utente interessato avrà il diritto di ricevere i dati precedentemente forniti ad un titolare del trattamento e di ottenere che questi vengano trasmessi ad un altro titolare.
- Il Diritto di Accesso – dal 25 maggio 2018, giorno in cui entrerà in vigore il GDPR, l'azienda dovrà dimostrarsi trasparente sul perché e su come utilizzerà i dati personali degli utenti. L’introduzione dei registri delle attività di trattamento serviranno all'azienda a specificare le finalità per cui sta procedendo con il trattamento dei dati, le categorie di dati personali e di soggetti interessati e le misure di sicurezza tecniche ed organizzative che essa ha adottato.
Questo, in sintesi, è quello che comporterà l'entrata in vigore della GDPR per le aziende e per gli utenti, che saranno quindi più protetti.