Nuovo Regolamento privacy: dal 25 maggio si volta pagina

Trattamento dei dati personali, Data protection e libera circolazione dei dati aziendali: ancora qualche settimana per prepararsi al meglio e poi scatta la rivoluzione.

Dal 25 maggio 2018, infatti, è direttamente applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento UE 2016/679 del GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche e con una particolare attenzione al trattamento e alla libera circolazione dei dati personali.

Le domande sorgono spontanee: cosa cambia nelle aziende con il GDPR? Quale significato ha concretamente questa nuova direttiva? Cosa deve fare un’impresa per mettersi in regola?

Per entrare nel merito di quella che sarà effettivamente una vera rivoluzione in ambito di trattamento dei dati personali, è necessario partire dalla stretta relazione esistente fra il GDPR e l’innovazione digitale. Scrivendo il testo del nuovo Regolamento UE, il legislatore si è infatti posto un obiettivo preciso: quello di proteggere le persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. La normativa interviene quindi nel rapporto fra innovazione digitale, da un lato, e diritti e libertà delle persone, dall’altro, responsabilizzando il Titolare del trattamento dei dati, definendo nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende. Tra questi ultimi quelli che vanno sotto il nome di “Data Protection by design” e di “Data protection impact assessment”, vale a dire veri e propri filtri attraverso cui l’innovazione deve passare. Del resto, è sotto gli occhi di tutti come i dati personali siano al centro della digital transformation. Che si parli di servizi alla persona, di auto a guida autonoma, di controllo a distanza della propria abitazione e degli elettrodomestici o di smart working, il punto cruciale dell’innovazione è trasformare l’enorme mole di dati che le nuove tecnologie consentono di raccogliere, analizzare, tracciare, condividere e incrociare, in servizi innovativi per le persone o relativi alle persone.

I fatti di cronaca hanno già fatto emergere i rischi associati a tutto ciò: rischi legati alla sicurezza, ma anche rischi derivanti dall’uso dei dati e da una sottovalutazione delle conseguenze del particolare trattamento che si pone in essere. Rischi non confinati nella sfera digitale ma che possono incidere sulla vita fisica delle persone, provocando danni rilevanti e, talvolta, irreparabili o addirittura mortali.

La data del 25 maggio è ormai prossima e diventa perciò sempre più urgente adeguare la propria infrastruttura IT alle richieste della normativa. Alcuni tra i punti di attenzione che possono impattare direttamente i sistemi informativi sono: la pseudonimizzazione e la cifratura dei dati personali; la capacità di garantire in maniera permanente la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi di trattamento dati; la capacità di ripristinare in maniera tempestiva la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una reale procedura per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative in modo tale da assicurare la sicurezza del trattamento.

La normativa è molto precisa nel definire “cosa” bisogna garantire, ma non indica alcuna procedura sul “come” farlo e questa responsabilità è totalmente in capo ai dipartimenti IT. La novità legislativa pone le imprese di fronte alla necessità di capire come adeguare la propria infrastruttura IT alle nuove misure tecniche inserite nel GDPR. Per questo, per aiutarle a sostenere un impegno di questa portata, sfruttando la compliance anche come occasione di nuova efficienza, miglioramento della security e supporto efficace a percorsi di innovazione, in tutte le province venete si stanno organizzando seminari, corsi e incontri formativi ad hoc. Proprio a Padova, qualche giorno fa (il 3 maggio) la Camera di Commercio di Padova ha organizzato al Centro Conferenze “Alla Stanga”, il seminario gratuito dal titolo “Prepararsi alla nuova Privacy: conoscere ed applicare il GDPR in azienda“, mirato ad illustrare alle imprese del territorio i nuovi adempimenti privacy.

L’evento ha puntato i fari sugli obblighi per il titolare del trattamento, sulle figure Privacy, sul registro dei trattamenti e la Data Protection Impact Assessment e, infine, su come gestire la sicurezza informatica.

Per quelle aziende che sottovalutano la questione e non si adeguano alla nuova normativa il rischio è elevato: le sanzioni amministrative pecuniarie per l’azienda possono essere pesanti, arrivando anche al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Michel Angelo