GDPR 2018: cosa cambia nel nuovo regolamento europeo sulla privacy

News
28/03/2018 Danilo Pagnin 2473

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo sulla privacy, il GDPR (General Data Protection Regulation): in questo articolo ti spiego cos'è e cosa cambia.

Con un ampio accordo dei Paesi membri della UE, è stato approvato e pubblicato sulla Gazzetta Ufficiale del Parlamento Europeo il nuovo regolamento in materia di protezione dati, noto come GDPR (General Data Protection Regulation), che entrerà in vigore il 25 maggio del 2018, sostituendo il dlgs 196/2003 (aggiornato varie volte). Questo documento contiene varie e importanti novità, che riguarderanno sia l'organizzazione interna delle aziende e delle Pubbliche Amministrazioni, che dovranno disporre di figure apposite per il controllo dei dati, sia i singoli cittadini, che sulla carta dovrebbero risultare più protetti rispetto ad esempio al trattamento dei dati personali e dei post sui social network. Se pensiamo al recentissimo scandalo Facebook-Cambridge Analytica, che riguarda proprio il trattamento dei dati del più celebre e utilizzato tra i social network, il quale secondo le accuse avrebbe influenzato significativamente l'elezione di Donald Trump alla Casa Bianca, ti renderai conto che si tratta di un tema tutt'altro che secondario e che riguarda le basi stesse della nostra sicurezza e della democrazia. Vediamo quindi più nel dettaglio il significato del GDPR 2018 e come questo nuovo regolamento imposta la tematica della protezione della privacy.
 

Nuovo GDPR 2018: prevenire i rischi con il principio dell'accountability

Aziende e Pubbliche Amministrazioni dovranno prestare attenzione sin dalla creazione del dato per far sì che vi sia "protezione dei dati fin dalla progettazione e protezione per impostazione predefinita", come recita il primo punto del testo, principio definito con la formula inglese "Data Protection by Design and by Default": se sei il titolare dei dati, devi attuare strumenti tecnici e organizzativi atti a soddisfare i requisiti previsti dal nuovo regolamento UE sulla privacy, compatibilmente coi costi che ciò comporta e con la diversa probabilità e gravità dell'eventuale violazione. Quando costruisci un database, insomma, devi strutturarlo in modo che, a seconda dell’importanza dei dati inseriti, tu possa gestirlo con le opportune cautele e con una tracciabilità precisa sull’utilizzo degli stessi. 
In linea con questa impostazione, viene altresì introdotto uno dei principi chiave del nuovo testo: il principio di responsabilizzazione (in inglese accountability), perno intorno al quale va strutturato il controllo costante dei dati da parte del titolare. Dal momento che un’eventuale violazione può comportare anche danni fisici e morali alla persona i cui dati sono stati violati, il titolare deve comunicarla tempestivamente alle autorità competenti, "senza ingiustificato ritardo e, ove possibile, entro 72 ore", a meno che egli possa dimostrare che la violazione non sia tale da comportare rischi morali e/o materiali per la persona.

La figura del Data Protection Officer: compiti e responsabilità

Nel testo del nuovo regolamento europeo sulla privacy un posto importante viene assegnato al Responsabile della Protezione Dati, Data Protection Officer appunto.
Se sei titolare dei dati o responsabile dei dati nel tuo settore operativo (aziendale, di Pubblica Amministrazione), dovrai nominare un responsabile della protezione dati che dovrà conoscere nei dettagli le normative e le procedure in materia ed essere quindi il referente di fatto per il monitoraggio delle attività che per loro natura richiedono un uso di dati personali.
Nasce quindi una figura professionale nuova che dovrà avere un'approfondita formazione giuridica sull'argomento e la capacità di coordinamento e verifica di attività che comportano il rischio di divulgare dati che potenzialmente possono nuocere materialmente o moralmente ai soggetti interessati. Se, per esempio, lavori in un ambito ospedaliero in cui si trattano patologie a forte impatto emozionale (le malattie infettive, per citare un caso), questa figura dovrà essere molto attenta a verificare che nei vari passaggi di informazioni sia sempre tutelata l'identità dell’interessato, con procedure ad hoc, tracciate e chiare.
Sarà sempre fondamentale definire i perimetri aziendali all'interno dei quali sono presenti dati sensibili e monitorare eventuali falle organizzative che possono portare ad una fuga impropria di informazioni.
 

Diritto all'oblio: come si possono tutelare le persone

Chiunque abbia comunicato dati personali all’interno di un database (anche per un semplice acquisto di prodotti attraverso un sito di e-commerce), ha diritto ad ottenere informazioni approfondite rispetto ai destinatari dei dati (per esempio, il passaggio di dati ad un corriere espresso per la consegna dei prodotti acquistati, o ad un installatore per l'erogazione di un servizio) ma anche rispetto alle procedure automatizzate che comportano il passaggio di dati e coinvolgono quindi la nuova normativa UE sulla privacy. Oltre a ciò, un interessato ha sempre diritto a richiedere la cancellazione dei dati personali "senza ingiustificato ritardo", come recita il testo: è quello che viene definito "diritto all'oblio".
Le sanzioni, in caso di accertata violazione dei dati, possono essere anche elevatissime: fino a 20 milioni di € o il 4% del fatturato annuo a livello (nel caso) di gruppo industriale.
 

Cosa cambia all'interno delle organizzazioni aziendali e pubbliche

Nel caso di aziende e enti pubblici che trattano quotidianamente una mole consistente di dati, nasce l'esigenza di prestare massima attenzione a tutti i processi che potrebbero comportare fughe di dati o comunque un trattamento degli stessi non conforme alle normative: fondamentale sarà applicare il principio dell’accountability e nominare il Data Protection Officer. Sono infatti indispensabili nuove competenze per affrontare i diversi aspetti di natura giuridica, come il tema della conservazione dei dati e della garanzia della loro correttezza ma, soprattutto, i profili legati ai processi decisionali automatizzati (robo-advisory, high frequency trading, ecc.) per prevenire rischi connessi all’eventualità che siano i software stessi  -per così dire- a prendere decisioni.
La complessità del quadro normativo spinge molte società specializzate in servizi di protezione dati a proporre pacchetti finalizzati a ottimizzare la gestione dei dati. Soluzioni di Policy Compliance, atte a verificare l'adeguamento dei database aziendali alle normative del GDPR 2018, Security Assestment Questionnaire per l'automatizzazione dei processi di gestione rischio, sono esempi di soluzioni offerte dagli specialisti del settore che operano per lo più attraverso piattaforme cloud superprotette da eventuali minacce.
 
Il recente caso di Cambridge Analytica, come in passato quello di Echelon, pone serie domande circa la tutela e l'utilizzo dei dati che giganteschi database, come quelli dei social networks, potrebbero fare e per fini tutt'altro che filantropici: il nuovo GDPR 2018 dovrebbe andare nella direzione giusta.