Blog "Vite parallele"

GDPR ...Chi è costui?

Valutazione attuale: 5 / 5

Stella attivaStella attivaStella attivaStella attivaStella attiva
 

E’ il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679).

Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE.

Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio 2016, inizierà ad avere efficacia il 25 maggio 2018.

L’aspetto da evidenziare  è che l’adeguamento ai requisiti del GDPR ha un impatto informatico enorme. E’ sufficiente guardare i tratti salienti del GDPR per rendersene conto:

  1. Il Regolamento si applica a tutti gli operatori economici inclusi micro, piccole e medie imprese e pubblica amministrazione che processano dati personali.
  2. Diritto alla cancellazione («diritto all’oblio») l’interessato deve avere il diritto di ottenere dal controllore la cancellazione dei propri dati personali senza ritardi.
  3. Diritto alla portabilità dei dati. L’interessato ha il diritto di chiedere e ricevere i dati personali che lo riguardano in uno stato strutturato, comunemente usato, lavorabile. E ha il diritto di trasmettere quei dati ad un altro controllore senza ostacoli da parte del controllore che ha fornito i dati personali.
  4. Data Breach. Tutte le aziende hanno l’obbligo di notificare le violazioni dei dati personali entro 72 ore alla Data Protection Authority. Quindi viene verificato se sono state adottate adeguate protezioni tecnologiche e misure organizzative per stabilire immediatamente se una violazione di dati è avvenuta.
  5. Data protection impact assessment Il controllore è responsabile di effettuare una valutazione del ‘data protection impact’ per valutare in particolare l'origine, la natura, la particolarità e la gravità del rischio. Il risultato ha come fine quello di determinare le misure adeguate da prendere per dimostrare che la modalità di processo e gestione dei dati personali risponde al regolamento.
  6. Privacy by Design e by Default. Per la prima volta si affronta la protezione dei dati in base alla progettazione (“by Design”) come un obbligo legale per i controllori e i processori dei dati facendo esplicito riferimento alla  pseudonimizzazione. Il responsabile del trattamento deve attuare le misure tecniche appropriate e misure organizzative per garantire che, by Default, solo personale che deve lavorare sui dati abbia accesso al dato.

Il percorso che aziende e organizzazzioni dovranno percorrere per essere allineati alla norma si può sintentizzare in:

  1. AS IS -> Comprendere la situazione attuale rispetto al GDPR attraverso un Data Protection Impact Assessment
  2. TO BE -> Iniziare a Progettare infrastrutture, applicativi, processi, sulla base dei principi della Privacy by Design e by Default.
  3. REMEDIATION ->  Introdurre le misure per governare e difendere nel modo opportuno i dati personali in azienda, figure di controllo come il DPO e/o tool per la gestione dei requisiti della norma come il registro dei trattamenti.

Aziende e organizzazioni si sono mosse con ritardo su questa tematica, che ha però degli aspetti innovativi che impattano in maniera davvero dirompente sui processi delle aziende e sull’IT che li supporta.

Assistiamo in questi ultimi mesi ad una presa di consapevolezza su questo aspetto, i corsi GDPR da quelli di Overview a quelli di 3 giorni che formano i DPO (Data Protection Officer - i Responsabili della Protezione del Dato) sono pieni. Così come sono pieni gli eventi, nel corso dei quali gli esperti evidenziano i principali aspetti del GDPR.

La comprensione che è il momento di capire come la propria realtà aziendale si posiziona rispetto ai requisiti del GDPR si sta ormai facendo strada e molte aziende stanno iniziando a chiedere l’intervento di consulenti per realizzare un Data Protection Impact Assessment. 

E’ solo il primo step, ma è fondamentale, e  considerando il quadro sanzionatorio previsto, va anche  accelerato.

In Italia molti sperano in uno spostamento della data del 25 maggio, ma non c’è da farci troppo conto …. È un Regolamento Europeo.


"Vite parallele" - Il Blog di AUSED © 2018 AUSED - All Rights Reserved - Partita IVA 02780950966

Search