La General Data Protection Regulation, o GDPR, entrerà in vigore tra pochi giorni e introdurrà concetti generali e linee guida approvate dal gruppo dei garanti europei, senza che esse vadano a sostituire in toto la legislazione attuale.
Il pacchetto raccoglie un sistema di norme non più limitate ai singoli stati, ma globali e va a protegge per primi i cittadini, sia dall’invadenza dello stato e sia dalle imprese che trattano i dati personali.
Si tratta di un insieme di norme che si adeguano alle tecnologie moderne e risolvono problemi di frammentazione nelle legislazioni nazionale, di evoluzione tecnologica e obsolescenza e di inadeguatezza delle sanzioni.
Si ha dunque una nuova classificazione dei dati personali, quelli che riguardano direttamente o indirettamente una persona fisica, come per esempio un numero identificativo (vedi codice fiscale, codice bancario). Le categorie particolari includono i dati sensibili come: l’origine etnica, la religione, gli aspetti filosofici e lo stato di salute (in questo contesto l’età e il patrimonio economico non sono considerati dati sensibili).
Tra le nuove categorie rientrano i dati biometrici, che specificano caratteristiche fisiche e fisiologiche, e possono essere statici o dinamici, come l’impronta digitale o l’iride, la firma o la camminata di un soggetto.
In questo senso i parametri previsti dal GDPR si applicano ai dati delle persone in azienda e ai clienti della stessa.
Come adeguarsi alla norma per essere compliant ed evitare sanzioni?
Entro il 25 maggio è necessario istituire il registro dei trattamenti, verificare informative e consensi, abilitare processi di risk assessment, verificare che le misure di sicurezza messe in atto siano adeguate.
È inoltre importante definire una governance per la privacy che interessi il Titolare, i Responsabili del trattamento e il Data Protection Officer. Come prescritto dalla norma, alle società è richiesta la redazione di un piano per la corretta gestione del rischio cyber ed un corretto processo di protezione dei dati utilizzati. Ciò comporta la messa in pratica, da parte delle organizzazioni, di un piano strategico di cyber security che vada a mettere in sicurezza tutti i vari livelli dell’organizzazione attraverso l’adozione di tecnologie e processi avanzati adeguati al grado di rischio di Data Breach e conformi ai principi generali sanciti dal regolamento; in primis quello di accountability e di data protection by default e by design.
La Privacy è, di fatto, il fulcro della norma e il sistema che sta per entrare in vigore nasce per proteggere i diritti fondamentali dei cittadini.
Il cittadino interessato deve infatti poter esercitare senza vincoli una serie di attività sui propri dati immagazzinati presso l’azienda. Deve essere possibile accedere ai dati, così come deve essere consentita la rettifica, l’opposizione, la sospensione e il diritto all’oblio.
Oltre alle attività e agli adempimenti richiesti a livello organizzativo, il GDPR impone la Data Breach Notification, una procedura che scatta entro le 72 ore da un cyberattacco e dalla conseguente perdita di dati. La comunicazione al garante deve avvenire corredata di informazioni dettagliate che contengano le misure di protezione messe in atto.
Per raggiungere la conformità normativa, in funzione delle attività di una data azienda e del settore di riferimento, esistono oggi soluzioni end-to-end per soddisfare la compliance GDPR. Si tratta di piattaforme “cross industry” e capaci di lavorare con architetture eterogenee, specifici pacchetti dedicati alle attività di governance, risk e compliance. Per la gestione della fase di documentazione dei processi sono invece disponibili specifiche piattaforme per il controllo e archiviazione, capaci di orchestrare le attività di business e di diventare veri e propri repository centrali per la gestione della compliance.
Per le realtà più piccole esistono inoltre tool digitali cloud-based che si adattano alle esigenze di studi di commercialisti, aziende, professionisti, studi medici, consulenti privacy e Data Protection Officer (DPO).
Specifici processi sono stati messi a punto per supportare i responsabili della protezione dei dati nel compito di rispettare il principio di trasparenza (accountability), documentando le scelte di compliance alla Privacy e gestendo in maniera integrata l’analisi dei trattamenti, l’analisi dei rischi con librerie di minacce e contromisure precaricate, la gestione delle valutazioni d’impatto (Data Protection Impact Assessment – DPIA), e altro ancora.
