Tutela dei dati personali

Tutela della privacy: 25 anni del Garante e sfida GDPR

A 25 anni dall’istituzione dell’Autorità Garante per il trattamento dei dati personali, nel nostro Paese crescono le richieste di tutela da parte dei cittadini.  ASSITECA ha sviluppato specifici servizi finalizzati a supportare le imprese nel mantenimento della compliance al Regolamento e, allo stesso tempo, migliorare il livello di sicurezza dei loro sistemi.

 

 

Il Garante Privacy italiano compie 25 anni di attività, un quarto di secolo dedicato alla protezione dei dati personali dei cittadini che ha visto crescere la necessità di suddette tutele, con il vorticoso aumento dei dati e della loro circolazione. Tempo di bilanci, dunque, per il Garante e per l'operatività della GDPR, in vigore da quattro anni e che vede l'Italia seconda in Europa per numero di multe e quarta per ammontare delle sanzioni. E dopo i bilanci occorre individuare le adeguate contromisure da parte delle aziende, per restare al passo con la normativa come pure con la realtà in costante evoluzione su questo fronte.

Garante della Privacy: 25 anni di storia

L’Autorità Garante per il trattamento dei dati personali, o Garante Privacy, è un'autorità amministrativa indipendente istituita con la legge 675/1996 nota anche come legge sulla Privacy, normativa che aveva lo scopo di assicurare e tutelare il trattamento dei dati personali da parte di terze parti compresi enti pubblici e istituzioni private.
Istituita il 31 dicembre 1996, è operativa dal 1997, dunque in questo 2022 si celebrano i 25 anni di attività, un quarto di secolo fondamentale sul fronte del trattamento dei dati personali, che ha reso l'attività del Garante sempre più cruciale su molteplici fronti.

Tra i compiti del Garante Privacy, ricordiamo i principali:

  • controllo del trattamento dei dati personali secondo le disposizioni di legge;
  • raccolta, verifica e gestione di reclami o di segnalazioni per violazioni della privacy, rispondendo ai ricorsi dei soggetti interessati o intervenendo d'ufficio, in caso di trattamenti dati illeciti, oppure non corretti;
  • pressione per l'adeguamento, da parte di Governo e Parlamento, del codice privacy alla normativa europea o all’utilizzo e allo sviluppo dei nuovi media;
  • promozione presso i cittadini la conoscenza delle norme che regolano il trattamento dei dati personali;
  • istituire e tenuta del registro generale dei trattamenti sulla base delle notificazioni ricevute;
  • redazione della relazione annuale sull’attività svolta e sullo stato di attuazione della legge da trasmettere al Parlamento e al Governo entro il 30 di aprile dell’anno successivo a quello cui la relazione si riferisce.

 

Le sfide della Privacy

Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali, afferma che in questi 25 anni di attività il primissimo risultato raggiunto è quello della:"democratizzazione della privacy; la sua affermazione come diritto sempre più di tutte e tutti e, soprattutto, degli ultimi. Nato e percepito, in origine, come tradizionale prerogativa borghese, il diritto alla privacy si è progressivamente affermato (in Italia anche grazie allo Statuto dei lavoratori già negli anni '70) come potente strumento di redistribuzione del potere informativo e, dunque, di garanzia delle fasce deboli nell'ottica dell'eguaglianza sostanziale sancita dalla Costituzione. È quello che Rodotà [primo Presidente del Garante nel 1997, NdR] definiva il passaggio dal segreto (borghese) al controllo (del potere informativo)."

Come detto, gli ultimi decenni sono stati un periodo di grandi trasformazioni su molti fronti, ed in particolare su quello del trattamento dei dati personali, se pensiamo alla diffusione di Internet e dunque alla circolazione di enormi masse di dati che vanno protette perché non finiscano nelle mani sbagliate.

E allora ripercorrendo alcune delle tappe che hanno visto il Garante Privacy protagonista, ricordiamo gli interventi su:

  • attacchi informatici;
  • pubblicazione di immagini non appropriate (ad esempio il cosiddetto revenge porn), e conseguente invito ai genitori di non diffondere foto dei figli minori;
  • telemarketing fuori da ogni regola;
  • diritto all'oblio su Internet;
  • rafforzamento del diritto delle persone nel vedere aggiornati gli archivi giornalistici online;
  • tecnologie di controllo sui posti di lavoro;
  • anagrafe tributaria;
  • dati legati alla pandemia, con i recenti interventi sull'app di monitoraggio.

In un mondo iperconnesso che produce dati su qualsiasi azione umana e non, il Garante ha visto crescere negli anni i versanti su cui si rendono necessari pareri, prese di posizione e richieste di revisione delle normative, al fine di tutelare i cittadini.


Quattro anni di GDPR: a che punto siamo

Mondo iperconnesso, dicevamo, dunque la sola attività del Garante nazionale non è più sufficiente a tutelare il trattamento di dati che viaggiano ampiamente al di fuori dei confini nostrani. E allora nell'UE quattro anni fa è stato fatto un passo in più a livello comunitario, attraverso l'introduzione del Regolamento generale per la protezione dei dati personali 2016/679, meglio noto come GDPR (General Data Protection Regulation), la principale normativa europea in materia di protezione dei dati personali.

Il Garante Privacy, a quattro anni dall'entrata in vigore della GDPR, fa un bilancio della sua applicazione, rilevando:

  • 425 comunicazioni dei dati di contatto degli RPD;
  • 565 reclami e segnalazioni;
  • 879 notifiche di Data Breach.

 

Fonte: RGDP - Il bilancio dell'applicazione
Fonte: RGDP - Il bilancio dell'applicazione

 

Il GDPR Enforcement Tracker, sito che registra le sanzioni comminate dalle Autorità Garanti Europee di tutela dei dati personali, rileva poi che l’Italia è il secondo Paese in Europa per numero di multe (sono state 133) e quarta per ammontare delle sanzioni, con più di 137.240 milioni di euro.
Sanzioni che non riguardano esclusivamente le organizzazioni operanti in Europa, dal momento che negli ultimi 12 mesi le autorità garanti europee hanno multato cinque importanti aziende americane del settore tecnologico, per più di 1,2 miliardi di dollari. Inoltre il numero di violazioni segnalate è cresciuto più velocemente che mai, passando da 639 a 1.037 nello stesso periodo.
L'ultimo biennio ha fatto emergere nuove tendenze, legate a doppio filo con la crisi pandemica e la conseguente accelerazione di digitalizzazione e smart working: la gestione dei dati negli ambienti più disparati porta molte aziende a perderne il controllo e dunque a correre rischi notevoli sul fronte delle violazioni e degli attacchi.

 

Privacy e GDPR: come tutelarsi tra organizzazione e assicurazione

A quattro anni dall'entrata in vigore della GDPR, dopo il biennio pesantemente condizionato dalla pandemia globale e un 2022 iniziato con una guerra, quella russo-ucraino, che si combatte sul campo ma anche a colpi di cyber attacchi, le imprese devono assolutamente occuparsi dell'adeguamento alla normativa come pure alla realtà in evoluzione.

La normativa richiede che le aziende affrontino un percorso di adeguamento, facendo particolare attenzione a:

  • processi interni di gestione dei dati trattati;
  • rispetto dei diritti dei soggetti interessati;
  • rafforzamento delle misure organizzative e tecniche (soprattutto informatiche) per la protezione dei dati personali;
  • monitoraggio e manutenzione del sistema di gestione e protezione dei dati per garantire il mantenimento del livello di efficacia raggiunto.

In un mondo che è oramai fortemente dipendente dalle tecnologie informatiche, soprattutto nell’ambito della Privacy, la resilienza dei sistemi informativi aziendali assume un ruolo sempre più importante per il successo delle organizzazioni, rendendo la cyber security un elemento chiave sia per il successo delle organizzazioni che per l’adeguamento ai requisiti della legislazione europea e nazionale.

ASSITECA affronta tutto questo attraverso un approccio pragmatico volto a minimizzare l’impatto della normativa e degli adempimenti, e, allo stesso tempo, cogliere le opportunità legate al miglioramento del livello di sicurezza dei sistemi aziendali. Il percorso con il cliente è progressivo e modulare:

  • assessment integrato su processi, aspetti legali e cyber security, in grado di dare all'azienda una visione sintetica della propria situazione e di indicare con precisione le attività da svolgere per restare allineati ai requisiti del GDPR e della normativa nazionale vigente;
  • implementazione del piano di adeguamento, in termini organizzativi, legali e tecnologici;
  • formazione necessaria per i ruoli coinvolti nelle attività di protezione dei dati personali, e sul trasferimento dei rischi non mitigabili al mercato assicurativo;
  • supporto nelle attività periodiche di monitoraggio e controllo, volte a verificare la tenuta nel tempo delle strutture di protezione dei dati.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI