Il regolamento europeo sulla protezione dei dati (c.d. GDPR, Regolamento UE 2016/679), entrato in vigore il 25 maggio 2016 stabilisce le regole sul trattamento dei dati personali; viene applicato alle organizzazioni che operano in Europa e a quelle che trattano dati personali di cittadini europei.

Per quale motivo se ne parla tanto in questo periodo?
Perché avrà piena efficacia dal 25 maggio 2018.

Rispetto alla normativa sulla privacy in vigore in Italia (D.Lgs. 196/2003), il regolamento europeo introduce diverse novità riguardanti il “ciclo di vita” dei dati personali (come possono essere raccolti, immagazzinati, resi accessibili e utilizzati) e su come le aziende sono obbligate a operare in caso di accessi non autorizzati agli stessi.

Ci preme mettere in chiaro che il ciclo di vita di un dato non riguarda solo la parte informatizzata dello stesso.

Un aspetto che deve essere portato in evidenza è il piano sanzionatorio, che può arrivare fino al 4% del fatturato annuo dell’organizzazione o 20 milioni di Euro.

Che cosa fare allora per mettersi in regola?

Il GDPR pone l’accento su diversi aspetti:

  • obbliga ad avere procedure per poter onorare il diritto all’oblio e il diritto alla portabilità dei dati
  • obbliga alla valutazione delle violazioni dei dati (Data Breach) che possono portare alla notifica o alla denuncia dell’evento
  • introduce la figura del DPO

Elemento chiave è il registro delle attività di trattamento, che ha una doppia valenza: è sia strumento di lavoro (quali dati, tipi di trattamento, …) sia strumento probatorio (in caso di incidente evidenzia lo “stato dell’arte” all’interno dell’organizzazione).

Basta quindi fare un registro per essere a posto con il regolamento?

No.

La norma, all’articolo 32, definisce delle misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio, che comprendono anche:

a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

E’ chiaro come questi punti riportino direttamente a soluzioni che proteggano i dati e ne garantiscano la disponibilità, tracciando le attività di accesso da parte degli utenti e verifichino periodicamente le eventuali vulnerabilità presenti.

Le aziende devono rispettare le prescrizioni della norma, ma possono fare di più: rendere questo obbligo un’opportunità!