GDPR, è partito il conto alla rovescia: manca meno di un anno

GDPR, è partito il conto alla rovescia: manca meno di un anno

La nuova Regolamentazione Generale sulla Protezione dei Dati entrerà in vigore il 25 maggio del 2018: è un importante passo avanti nell'armonizzare le leggi sulla protezione dei dati per tutti i Paesi Membri

di Andrea Bai pubblicato il nel canale Sicurezza
 

E' stata approvata dal Parlamento Europeo il 14 aprile del 2016 ed entrerà in vigore il 25 maggio 2018, ovvero fra poco meno di un anno. Stiamo parlando della Regolamentazione Generale sulla Protezione dei Dati, meglio nota con l'acronimo di GDPR - General Data Protection Regulation, sviluppata con lo scopo di armonizzare le leggi sulla privacy e riservatezza delle informazioni per tutti i paesi Europei. Si tratta, più precisamente, di una importante revisione ad un impianto normativo già esistente ma che risale al 1995. L'evoluzione nel mondo dell'informazione e i nuovi paradigmi del mondo data-driven, hanno imposto l'esigenza di riformare la normativa in modo tale che, facendo fede ai principi cardine su cui è basata, potesse offrire un approccio maggiormente al passo con i tempi.

In tal senso, il primo cambiamento di maggior impatto è quello che riguarda l'estensione della giurisdizione della nuova GDPR, che andrà applicandosi a tutte le società che trattano dati personali di soggetti che risiedono nell'Unione Europea, a prescindere dalla localizzazione geografica della società o dal luogo in cui i dati vengono trattati/processati. Si tratta di un cambiamento che va a dipanare quell'incertezza interpretativa della precedente impostazione della norma. La novità imporrà a tutte le realtà non appartenenti all'Unione Europea di dover nominare un rappresentante interno all'Unione.

Il 25 maggio 2018 entra in vigore la nuova GDPR che uniforma per tutti i Paesi Europei le leggi sul trattamento dei dati personali

"Innanzitutto, dobbiamo considerare la definizione del GDPR un passo avanti importante in tema di standardizzazione delle politiche europee, perché di fatto questa nuova normativa va a sostituire quelle dei singoli paesi, differenziate tra loro, andando di fatto a unificare la protezione dei dati a livello continentale. Il tema dichiarato di fondo è quello di “ridare ai cittadini il controllo dei loro dati personali e di semplificare lo scenario normativo per le organizzazioni internazionali, unificando le normative all’interno della UE" ha osservato Vincenzo Costantino, EMEA South Technical Services Director di Commvault, società statunitense che si occupa di protezione e gestione dei dati.

Maggiore attenzione viene posta anche verso i meccanismi di richiesta di consenso, con norme che vengono rafforzate: in particolare GDPR impone che le tutte le richieste vengano sottoposte all'utente in maniera "intellegibile e facilmente accessibile" così che sia immediatamente chiaro quale sia lo scopo del trattamento/elaborazione dati legato alla richiesta di consenso. In altre parole dovranno essere evitate tutte quelle forme di "legalese" che allontanano la comprensione della richiesta, così che l'utente sia perfettamente in grado di capire perché gli venga richiesta un'autorizzazione specifica. Inoltre la stessa facilità con cui sarà possibile prestare il proprio consenso dovrà essere ritrovata anche nella possibilità di annullarlo.

Minor spazio interpretativo, maggiore chiarezza e più attenzione verso i diritti dei soggetti di dati

La nuova impostazione del GDPR si sofferma in maniera abbastanza estesa sui diritti dei cosiddetti "soggetti di dati", ovvero praticamente chiunque poiché con questo termine si intende qualsiasi entità proprietaria di dati personali. In particolare dovranno essere garantiti il diritto all'oblio (cioè la cancellazione dei dati personali, su richiesta dell'interessato), il diritto all'accesso (ovvero la possibilità di chiedere conferma da parte dell'interessato se sussista il trattamento di dati personali e per quale scopo e, in caso affermativo, di ottenere una copia di questi dati) e il diritto alla portabilità (la possibilità di disporre dei propri dati in un formato interoperabile e compatibile così da poter spostare il loro trattamento ad un'altra realtà).

Infine la nuova GDPR stabilisce ulteriori tre paletti: anzitutto la divulgazione di eventuali violazioni diventerà obbligatoria in tutti gli Stati Membri nel momento in cui l'incidente abbia la probabilità di sfociare in un "rischio per i diritti e le libertà dei singoli" ed entro 72 ore da quando la parte interessata viene a conoscenza dell'avvenuto incidente. Gli utenti dovranno essere notificati direttamente senza nessun ritardo irragionevole. Il secondo paletto è il concetto di "Privacy by Design", che esiste da anni ma solamente con la riforma GDPR diventa di fatto un requisito legale. In questo modo le misure e le pratiche di protezione dei dati devono essere incluse al momento della progettazione di un sistema di trattamento dei dati. In maniera più dettagliata il "controller dovrà implementare appropriate misure tecniche ed organizzative in modo efficace, per rispondere ai requisiti di questa regolamentazione e proteggere i diritti dei soggetti di dati". Ciò implica, inoltre, la necessità di processare solamente quei dati che sono indispensabili al completamento dei doveri e a limitare l'accesso ai dati personali a coloro i quali hanno bisogno di svolgere l'elaborazione. Il terzo paletto è la nomina di un Data Protection Officer solo nel caso in cui il data controller sia una pubblica autorità, una società che si occupa di monitoraggio sistematico su ampia scala o una società che si occupa su ampia scala di elaborazione di dati personali sensibili.

E' bene sottolineare che tutto ciò si applica ovviamente non solo alle società private, ma anche alla Pubblica Amministrazione. "La Pubblica Amministrazione gestisce per definizione molti dati personali quindi in alcuni casi ed in alcuni ambiti (servizi al cittadino) deve prestare maggiore attenzione ai dati personali. Ma questo deve essere esteso a tutti i dati, inclusi quelli dei dipendenti. Inoltre, ad oggi vi era particolare attenzione alla protezione di questi dati da un punto di vista puramente di sicurezza e confidenzialità ma manca la parte relativa alla gestione del dato, alla ricerca delle informazioni in modo olistico e alle relative azioni come la cancellazione, archiviazione e memorizzazione storica differenziata in base alla tipologia di dato (classificazione)" ha sottolineato Costantino.

Le sanzioni sono salate, ma le ripercussioni in caso di mancata rispondenza non sono solamente economiche

Cosa rischiano le società che non rispettano le nuove norme GDPR? La regolamentazione fissa una sanzione monetaria massima pari al 4% del giro d'affari annuale complessivo oppure 20 milioni di euro, a seconda di quale sia la cifra maggiore tra le due. Questo è il caso estremo per le violazioni più gravi, come può essere per esempio la violazione degli elementi chiave del concetto di Privacy by Design oppure il consenso non sufficiente da parte dell'utente al trattamento dei dati. Per situazioni di minor gravità (registri non in ordine, mancata notifica di una violazione dati) si procederà a scaglioni, a partire dal 2% del giro d'affari annuale complessivo. Sarebbe tuttavia riduttivo ragionare esclusivamente in termini di ripercussioni economiche derivanti solamente dalle sanzioni. La mancata rispondenza al GDPR può infatti avere conseguenze più estese come ad esempio il danno di immagine e reputazione. Vi è da considerare, inoltre, che la riforma ha trasformato la GDPR in una normativa molto più ricca e dettagliata rispetto a quanto in vigore fino ad ora e non è pertanto da escludere che i processi seguiti fino ad oggi potrebbero essere improvvisamente illegali con l'entrata in vigore della regolamentazione.

Si delinea pertanto l'esigenza di una revisione generale dei processi in azienda, così che sia possibile verificare la rispondenza completa ed efficace a quanto stabilito dalla nuova normativa: è un approccio che va affrontato per passi, e che è bene avviare il prima possibile. La priorità va innanzitutto in direzione di una prima fase di valutazione del rischio, così che sia possibile identificare tutti i dati personali che l'azienda detiene e come essi vengano processati e da chi. In seconda battuta è imperativo assimilare il concetto di Privacy by Design già espresso poco sopra e trasformare la privacy nel nucleo fondamentale attorno al quale costruire il nuovo impianto di policy interne e codici di condotta. In tal senso potrebbe essere necessario, ad esempio, aggiornare e rivedere gli eventuali progetti di digitalizzazione avviati negli anni recenti, per verificare che siano compatibili con le nuove leggi o, in caso contrario, adeguarli. E' poi importante fare cultura interna all'azienda, poiché chiunque si trovasse in una posizione che implica l'accesso a dati personali dovrà conoscere entro quali confini può esercitare i suoi obblighi professionali. E, allo stesso modo, sarà importante e imprescindibile analizzare e rimodulare i contratti con clienti e fornitori.

Rispetto al resto d'Europa rischiamo in Italia di essere in ritardo con l'adeguamento alle nuove norme? Commenta Costantino: "Secondo la mia esperienza, in Italia se ne sta parlando molto ma vedo ancora relativamente pochi progetti partiti nel concreto. Siamo in una fase investigativa e decisionale. In altri paesi tipo la Germania, la numerica dei progetti partiti e in una fase concreta di realizzazione è sicuramente superiore all’Italia, anche in termini relativi. La stessa Francia è in una fase più avanzata rispetto all’Italia. Non si tratta di essere ultimi della classe in Italia, ma sicuramente la fase di analisi della tematica sta avendo qui in Italia una durata superiore rispetto a quanto accade nei paesi che ho citato.

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
floc12 Giugno 2017, 16:26 #1
in Italia siamo indietro nella pratica ma a livello normativo siamo quelli con un quadro più avanzato. Non a caso il regolamento europeo si ispira in larga parte al nostro Codice. Ora il problema sarà farlo rispettare e conciliare i principi della normativa con i principi di applicabilità tecnica (a livello informatico) attraverso il buon senso.

Perchè se dovessimo seguire alla lettera il regolamento privacy e le norme sulla circolazione dei dati dovremmo spegnere internet domani, anzi, ieri Soprattutto per quanto riguarda cloud e sistemi di posta in generale.
Uakko12 Giugno 2017, 22:42 #2
Ma se uno chiede la cancllazione dei propri dati, come si fa a sapere se un'azienda ti cancella veramente o semplicemente ti sposta in un database offline, per utilizzarli comunque o rivenderseli?
floc13 Giugno 2017, 00:22 #3
la certezza immediata non te la da nessuno purtroppo. Tuttavia ci sono procedure di audit in tal senso per ottenere le certificazioni necessarie a esercitare che dovrebbero scongiurare situazioni di questo tipo.
AleLinuxBSD13 Giugno 2017, 10:45 #4
Tutto bello, in teoria, peccato che in pratica sei sempre costretto a fare usare i tuoi dati, se vuoi usufruire di qualsiasi servizio di cui non puoi fare a meno.
Beppe900013 Giugno 2017, 14:41 #5
Questa cosa mi perplime da quando sono usciti gli smartphone come li intendiamo oggi.... Apple, Google e Microsoft obbligano ad avere un account per poter scaricare le app dagli store ufficiali. Tecnicamente non sarebbe necessario in quanto misero download di un file (come ad esempio gli store alternativi) ma per tracciare meglio la gente lo rendono obbligatorio. Non c'è bisogno di sapere nome e cognome per scaricare un'app. Per quelle a pagamento basta dire "devi farti un'account". E invece no. :\
fraussantin13 Giugno 2017, 14:43 #6
speriamo che non abbia come risultato una serie di banner e disclaimer come quelli per i cookie ...
floc13 Giugno 2017, 17:18 #7
Originariamente inviato da: AleLinuxBSD
Tutto bello, in teoria, peccato che in pratica sei sempre costretto a fare usare i tuoi dati, se vuoi usufruire di qualsiasi servizio di cui non puoi fare a meno.


beh è ovvio che se vuoi usare google maps debba fornirgli i tuoi dati di geolocalizzazione. Come è altrettanto ovvio che le multinazionali non siano onlus e usino i tuoi dati per lucrare in cambio di un servizio "gratuito", secondo il vecchio adagio che "se un servizio è gratis il prodotto sei tu". Ma la cessione del dato non deve assolutamente essere vista per forza in maniera negativa. Il punto è circoscrivere l'utilizzo dei dati ai casi di necessità per l'erogazione del servizio stesso e/o a un fair use del dato in modo che che non circoli indiscriminatamente una volta ceduto perdendone il controllo.

Originariamente inviato da: fraussantin
speriamo che non abbia come risultato una serie di banner e disclaimer come quelli per i cookie ...


l'abominio del banner per i cookies molto probabilmente sparirà.
semola713 Giugno 2017, 19:49 #8
esistono servizi di mappe/navigatori e motori di ricerca che non tengono in memoria dati sugli utenti, ad esempio openstreetmaps e duckduckgo.

Provate a usarli per - diciamo - un mese. Senza google e maps, però.

Alla fine del mese tornerete di corsa da Google/maps (e parlo da utente attivo di openstreetmaps).

I dati personali sono quelli che mettono le tue ricerche in ordine di interesse e non in ordine di interesse generico.
L'errore è stato a monte, ossia di fare passare internet=gratis. Gli utenti l'hanno rcepito così e ora tutte le porcate (perché di porcate si tratta) sul traffico di dati sensibili sono all'ordine del giorno. Quello che non si è mai capito è che internet=valore del tuo tempo su internet e di quello che ci metti.
Sta ad ognuno darglielo.
giovanni6913 Giugno 2017, 21:32 #9
"Se vuoi continuare ad usare il nostro servizio accetti che i tuoi dati siano trasferiti...." eccoti fregato di nuovo.
4%.. 20 mln di euro max? Cosa volete che sia per una multinazionale che pagherà i suoi avvocati quella cifra in un anno... Sì quelle saranno le pene esemplari... ma nella realtà dovrebbero fermare l'attività commerciale come quando arriva l'ASL o i NAS e ti bloccano perchè stai infrangendo delle regole di igiene.
Fino a che non diventa un reato contro la persona, nella sua integrità, non serve a molto. Quindi, figuriamoci.
floc13 Giugno 2017, 22:38 #10
L'idea è proprio quella di bloccare l'attività a chi se ne frega come nei casi che dici, i primi a farne le spese saranno gli ecommerce che non informano correttamente su privacy ecc, nel nuovo regolamento è previsto il blocco immediato di tutta la base di dati per singola violazione riscontrata.

In ogni caso nel momento in cui USI il servizio il tuo dato lo cedi comunque. Serve tecnicamente sapere dove sei se cerchi "ristoranti vicini a me". Ripeto, la cessione del dato in sè non è il male, basta regolamentarlo e averne il controllo. E infatti loggandosi sulla propria console google è possibile cancellare qualsiasi tipo di cronologia, tra le big probabilmente è quella più avanti in tal senso.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^