GDPR Regolamento Europeo sulla Protezione dei Dati

Regolamento Generale sulla Protezione dei Dati (GDPR): la gestione del rischio nell’era digitale

Condividi

Obbligo d’informativa, diritto all’oblio e la possibilità di distinguersi dai competitor con una certificazione di rispetto della nuova normativa.

 

Il Regolamento europeo in materia di protezione dei dati personali (Gdpr), il regolamento Ue 2016/679 per la protezione delle persone fisiche in merito al trattamento dei dati personali, entrato in vigore il 4 maggio 2016, sarà direttamente applicabile in tutti gli Stati membri a partire dal maggio 2018. Dovrà essere rispettato da tutti gli enti e le imprese operanti nell'Unione Europea, compresi quelli con sede extracomunitaria che gestiscono dati di cittadini europei.

Il Regolamento

Lo sviluppo della tecnologia e di quello che viene chiamato internet of things ha reso necessaria una particolare attenzione sul trattamento dei dati e una sensibilizzazione da parte degli acquirenti. Per avere accesso a qualunque servizio siamo continuamente costretti a cedere informazioni. Le fonti di raccolta dei dati personali andranno moltiplicandosi, come la difficoltà degli utenti nel tenere sotto controllo le informazioni cedute, la correttezza delle profilazioni e dell’archiviazione in caso di contestazioni. Si pone il problema del rispetto del diritto alla privacy degli utenti, ma non solo. Il rischio di violazione dei dati personali tramite attacchi di hacker è stato recentemente messo in evidenza, tra gli altri, dal caso Unicredit. Stando ai dati raccolti dalla Commissione Europea, dal 2016 vengono sferrati 4000 attacchi al giorno, con un aumento del 300% rispetto al 2015. L’80% delle aziende europee dichiarano di essere state colpite da incidenti informatici nel 2016 e l’87% degli europei ritengono che la criminalità cyber sia un rischio considerevole per la sicurezza interna dell’UE. Per questo, l’Unione Europea ha deciso di fare della cyber security e della protezione dei dati una necessità prioritaria. Se n'è discusso al G7 Industria, tenutosi a Venaria nei giorni 25 e 26 settembre. La Dichiarazione dei Ministri del G7 ICT e Industria che punta a Rendere la prossima rivoluzione della produzione inclusiva, aperta e sicura, coniuga innovazione tecnologica, lavoro e diritti in un'ottica di collaborazione internazionale, per portare innovazione tra le imprese della old economy. Sono consultabili anche i tre allegati, riguardanti rispettivamente intelligenza artificiale, cybersecurity e PMI.

Il General Data Protection Regulation (Gdpr) armonizza le normative degli stati membri, allineandole allo sviluppo delle tecnologie digitali e della loro sempre maggiore diffusione. Enti e aziende dovranno adeguarsi alle nuove disposizioni nei prossimi mesi, evitando di incorrere in pesanti sanzioni: si arriva a multe pari al 4% del volume di affari di un'azienda, fino a 20 milioni di euro. Un modo efficace per implementare il regolamento, su cui gli esperti si esprimono positivamente. Sembra, infatti, razionalizzare la questione e spingere verso un approccio sistematico, focalizzato sulla valutazione del rischio e delle conseguenze del trattamento, a partire dalla fase di progettazione degli strumenti informatici.

Area di applicazione

Con il termine dati personali si intende qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. La materia può riguardare quindi nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi Ip di computer, con un forte orientamento alle nuove tecnologie e ai nuovi sistemi di comunicazione. Il regolamento non disciplina la gestione di dati per attività di sicurezza nazionale o di ordine pubblico.

Obbligo d’informativa

I diritti concessi al titolare dei dati sono molto ampi. L’azienda o la pubblica amministrazione devono informare l’interessato in merito al trattamento, alle finalità, ai destinatari e alle categorie di dati in questione.

L’interessato deve conoscere il periodo di conservazione dei dati o almeno i criteri utilizzati per determinare tale periodo. L’ente è tenuto a informare in merito all'esistenza del diritto di opporsi al trattamento o di chiedere al titolare la rettifica, la cancellazione o la limitazione dello stesso. Si ha infine diritto di reclamo all'Autorità di controllo e, quando i dati personali non sono raccolti presso l'interessato, di ottenere qualsiasi informazione disponibile sull'origine dei dati, oltre all'esistenza di un processo decisionale automatizzato, compresa la profilazione dell'utente a fini commerciali.

Diritto all’oblio

L'interessato ha diritto di ottenere senza «indebito ritardo» la cancellazione dei dati personali che lo riguardano, qualora si presentino le seguenti condizioni:

  • i dati non sono più necessari in rapporto agli scopi per i quali sono stati ceduti o trattati;
  • l'interessato ritira il consenso su cui si fonda il trattamento e non sussiste altro motivo legittimo per trattarei dati;
  • l'interessato si oppone al trattamento dei dati personali;
  • i dati sono stati trattati in maniera illegittima o devono essere cancellati in conformità a una legge dell'UE o di uno Stato membro, alla quale è soggetto il titolare del trattamento.

La certificazione Gdpr

Si stima che entro il 2020 esisteranno 30 miliardi di oggetti connessi, molti dei quali, attraverso la domotica, entreranno nelle nostre case. Il Regolamento prevede la possibilità di ottenere una certificazione di rispetto della nuova normativa e ulteriori possibilità per terzi di verificarne l’adeguamento. Sembra essere questa la strada da seguire oggi, con un mercato in crescita e la necessità di soddisfare utenti sempre più consapevoli dei rischi legati alla cessione di informazioni.