Il GDPR impone il ripensamento o l’adeguamento delle dinamiche operative e dei sistemi IT; in questo il cloud può essere davvero di aiuto.
Il GDPR è un tema che è stato ampiamente dibattuto negli ultimi due anni e, a pochi giorni dalla sua attuazione, non è più il momento di valutare se adeguarsi oppure no. È, piuttosto, il momento di considerare il reale impatto della norma e, per chi ancora non avesse aperto gli occhi, di capire i vantaggi che la General Data Protection Regulation porta con sé.
Troppo spesso si è parlato di GDPR come ulteriore fardello per le imprese, come se fosse una sorta di tassa più o meno occulta che ogni società si trova a dover pagare. In realtà, a fronte di investimenti che dovranno certamente essere portati a termine, la norma consente alle realtà imprenditoriali, a più livelli, di capire meglio e più in profondità i meccanismi del proprio business.
Capita sovente, infatti, di “scoprire” attività o task aziendali (magari anche cruciali), solo quando si fanno verifiche approfondite, per scopi conoscitivi aziendali o in seguito a controlli da parte di enti terzi. Troppo frequentemente il flusso delle informazioni e la strada che compiono i dati non risultano adeguatamente tracciati, con il rischio che questi asset vengano persi, esfiltrati, distorti.
In quest’ottica il GDPR aiuta le aziende, tracciando il percorso da seguire e le best practice.
La norma impone alle aziende requisiti e obblighi: molte realtà dovranno rivedere o modificare la gestione dei dati, con un’attenzione particolare alla privacy e alla sicurezza del processo. In questo senso, l’applicazione delle differenti disposizioni dovrebbe essere interpretata dalle imprese come un’opportunità per aggiornare meccanismi di lavoro e gestione del dato obsoleti (e insicuri).
Diventa dunque fondamentale progettare reti e infrastrutture secondo la logica “Privacy By Design” e “Privacy By Default”. Non a caso, proprio la privacy rappresenta il nucleo fondante della norma; il sistema che sta per entrare in vigore nasce per proteggere i diritti fondamentali dei cittadini.
Si ha dunque una nuova classificazione dei dati personali, quelli che riguardano direttamente o indirettamente una persona fisica, come per esempio un numero identificativo (vedi codice fiscale, codice bancario). Le categorie particolari includono i dati sensibili come: l’origine etnica, la religione, gli aspetti filosofici e lo stato di salute (in questo contesto l’età e il patrimonio economico non sono considerati dati sensibili).
Tra le nuove categorie rientrano i dati biometrici, che specificano caratteristiche fisiche e fisiologiche, e possono essere statici o dinamici, come l’impronta digitale o l’iride, la firma o la camminata di un soggetto.
In questo senso i parametri previsti dal GDPR si applicano ai dati delle persone in azienda e ai clienti della stessa.
Secondo quanto stabilito dall’UE, è altrettanto importante il concetto di “Accountability”, ovvero il principio di responsabilizzazione e documentazione. Diventano così cruciali i processi di documentazione delle attività e di trattamento dei dati. In questo senso esistono ruoli specifici, a partire dal Responsabile del Trattamento, le cui attività sono disciplinate da un contratto o altro atto giuridico. Questa figura è responsabile dell’attuazione delle misure di sicurezza e non ricorre ad altro Responsabile senza previa autorizzazione del Titolare. Non solo, è responsabile della compliance normativa per il trasferimento dati.
Oltre al Titolare del Trattamento e ai Contitolari e Rappresentati, debutta la figura del DPO, o Data Protection Officer.
Il DPO riferisce al vertice gerarchico del Titolare o del Responsabile del trattamento, rispetta il requisito dell’indipendenza e dell’assenza di conflitto di interessi e coopera con l’autorità di controllo.
Ha un ruolo di indirizzo e controllo e fornisce consulenza al Titolare e al Responsabile, sorveglia l’osservanza del Regolamento e fornisce un parere sul Privacy Impact Assessment.
Per raggiungere la compliance è dunque necessario ripensare i processi secondo un Risk-based approach, effettuando la mappatura dei dati personali e delle tipologie di trattamento.