GDPR : cosa c’è da sapere…
Entro il 25 maggio 2018 dobbiamo tutti uniformarci al nuovo regolamento europeo sul trattamento dei dati personali (GDPR). L’argomento è di forte interesse, cerchiamo di fare il punto della situazione, focalizzandoci sugli aspetti fondamentali.
Il nuovo GDPR interessa anche la mia azienda?
La risposta è sì. Tutte le aziende posseggono i dati personali dei propri clienti,dipendenti,fornitori e quindi sono tenute a trattarli e conservarli nel rispetto del regolamento.
La seconda domanda è: dobbiamo preoccuparci? La risposta è no.
E’ necessario essere informati ed attuare una serie di misure atte a proteggere i dati personali, il loro trattamento e la loro conservazione.
Obiettivo del nuovo regolamento è infatti quello di verificare che il trattamento dei dati abbia una finalità lecita, che sia svolto in modo sicuro e che l’interessato ne sia adeguatamente informato.
Per garantire ciò il legislatore ha introdotto nuovi diritti per l’interessato.
Diritto all’oblio:
Ogni persona (interessato) può richiedere di eliminare od oscurare i dati che lo riguardano.
Diritto alla portabilità del dato:
Ogni persona (interessato) può richiedere, e deve poter ottenere, una copia dei propri dati in un formato elettronico interscambiabile.
Diritto di sapere dove vengono trattati i propri dati:
Se utilizzate una soluzione che, ad esempio, fa risiedere i dati in un Paese diverso dall’Italia o addirittura fuori dalla Comunità Europea, avete il dovere di informare l’interessato, in quanto non tutti potrebbero essere favorevoli al fatto che i propri dati risiedano in un cloud e/o siano inviati fuori dall’Italia.
In generale si dovrà quindi agire in modo da rispettare i nuovi diritti degli interessati.
Per garantire la sicurezza con cui vengono trattati i dati e la loro conservazione, il legislatore pone l’attenzione su altri aspetti.
La legge sulla Privacy prevede già da tempo che i dati siano protetti da accessi non autorizzati e che vengano effettuate tutte le azioni necessarie per garantirne sicurezza ed integrità, come ad esempio l’obbligo di effettuare copie di sicurezza periodiche degli stessi.
Il nuovo GDPR precisa ulteriormente questi aspetti e ne inasprisce le conseguenze in caso di inadempimento.
Introduce il concetto di ‘Privacy By Design’, nuovo elemento chiave nella legislazione sulla protezione dei dati personali che prevede che le soluzioni informatiche utilizzate per il trattamento dei dati siano progettate e realizzate già con l’obiettivo intrinseco di proteggere la privacy degli interessati.
In questa sede non vogliamo trattare gli aspetti più tecnici ma dobbiamo necessariamente menzionare alcuni requisiti essenziali.
– L’accesso ai software che trattano i dati dovranno essere regolati da un sistema di credenziali. Ogni operatore dovrà avere una propria ID e password univoca che determini a quali dati potrà accedere in base al proprio ruolo.
– Sarà necessario dimostrare di avere una procedura attiva di backup dei dati, che ne prevenga l’eventuale perdita accidentale. Per verificare l’efficacia del sistema di backup sarà necessario provare di aver effettuato i test di ripristino dei dati.
- I software dovranno predisporre strumenti di protezione del dato per impedire accessi fraudolenti e violazioni della privacy: ad esempio la criptazione consente di trasformare i dati tramite uno specifico algoritmo, rendendoli leggibili solo attraverso un’apposita procedura di decriptaggio.
In caso si forniscano i dati degli interessati a soggetti terzi, per adempiere alla nuova normativa è possibile intraprendere due strade:
-La pseudonimizzazione del dato: utilizzando cioè un codice casuale invece dei dati che possano ricondurre all’identificazione dell’interessato.
-Oppure incaricando chi riceve i dati come responsabile del trattamento dei dati e richiedendo quindi anche a lui l’adempimento degli obblighi previsti dal GDPR.
Il risultato di tutte le azioni e verifiche riportate sopra dovrà quindi confluire in ‘Registro dei trattamenti’.
Ma chi è tenuto a garantire tutti questi aspetti?
La risposta è ‘il titolare del trattamento’, che solitamente è il professionista o il legale rappresentante della società.
Questa informazione deve essere fornita sul consenso al trattamento dei dati che l’interessato deve obbligatoriamente firmare prima di iniziare qualsiasi trattamento.
Il titolare del trattamento è sempre il primo responsabile verso i terzi; non è previsto quindi che possa esonerarsi tramite “incarichi” esterni di natura tecnica, sui quali, anzi, è necessario prestare molta attenzione proprio per evitare futuri problemi legati alla perdita del dato o alla difficoltà di controllo del processo di trattamento dello stesso.
Quest’ultimo aspetto merita una particolare attenzione nel caso si utilizzi un sistema in Cloud, poiché è sempre il titolare dei dati il primo responsabile. Esternalizzando i dati potrebbe non essere semplice ed immediato entrarne in possesso in caso di necessità.
Il GDPR, una volta stabilite le misure di sicurezza adeguate, chiede anche di valutare preventivamente quali possano essere i rischi per la privacy delle persone e quali le misure per affrontarli; la cosiddetta ‘Valutazione di impatto’.
Clicca qui per consultare direttamente sul portale del Garante della Privacy tutte le informazioni più importanti in merito.