Il GDPR, (General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale si rafforza e si rende più omogenea la protezione dei dati personali di cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, avrà efficacia il 25 maggio 2018.
La regolamentazione europea per la protezione dei dati personali (GDPR) è una legge molto importante che coincilia due interessi in apparente contrasto: garantire la libera circolazione dei dati nella Unione Europea da un lato e difendere la libertà degli individui dall’altro.
La regolamentazione introduce significative novità rispetto alle regolamentazioni dei singoli Paesi, inclusa quella italiana in materia di trattamento dei dati personali.
Il GDPR ha implicazioni legali, tecniche e organizzative che le Aziende e le Amministrazioni Pubbliche devono soddisfare:
- Dimostrare che l’Azienda sia “accountable” sulla legislazione: l’organizzazione deve mettere in atto misure organizzative specifiche per la legislazione quali ad esempio la nomina di un Responsabile dei Trattamenti (DPO, Data Protection Officer) e la definizione del suo rapporto con le altre funzioni aziendali. L’organizzazione a supporto del GDPR dovrà essere in grado di valutare la rischiosità dei trattamenti analizzandone le dimensioni tecniche, legali e organizzative.
- Privacy by design e by default: vi è l’obbligo di progettare nuovi beni e servizi tenendo sempre a mente le prerogative quali la anomizzazione nel trattamento dei dati. Questo implica stabilire ed attuare requisiti tecnologici per far si che I sistemi che trattano I dati personali siano idonei a garantire la riservatezza, disponibilità e integrità dei dati trattati. Tali sistemi vengono individiduati mediante un’analisi organizzativa dei processi aziendali.
- Consentire la giurisdizione estesa: la regolamenzaione si applica a qualsiasi organizzazione che raccolga e/o elabori dati personali di cittadini europei indipendententeda dove si trovino gli uffici fisici della compagnia. Questo significa che è necessario rappresentare tecnicamente i flussi dei dati all’interno dell’organizzazione, stabilire accountability organizzative e prevedere dal punto di vista legale e del rapporto con l’autorità vigilante il paese che sarà rappresentate di tutti gli altri coinvolti.
- Gestione del consenso; le organizzazioni dovranno ottenere il consenso individuale di ciascun interessato per il trattamento dei propri dati personali fornendo indicazioni precise sulle finalità. Questo significa che dovranno essere predisposte informative aggiornate dal punto di vista legale rispetto a quelle in essere attualmente e che dovrà essere definita una modalità tecnica per la gestione dei consensi al fine di dimostrare in fase ispettiva di aver ottenuto il consenso per i trattamenti.
- Obbligo di notifica in caso di violazione dei dati personali: le organizzazioni dovranno avvisare l’interessato entro 72 ore della scoperta di un incidente di sicurezza. Perchè quest’obbligo sia rispettato, è necessario che l’organizzazione abbia idonee misure tecniche per prevenire gli incidenti e, qualora accadano, essere in grado di segnalarli per la gestione legale dell’evento.
- Diritto di portabilità dei dati personali: a ciascun interessato che ne faccia richiesta le Aziende dovranno essere in grado di fornire copia elettronica dei dati personali posseduti dall’organizzazione. Perchè questo importante requisito possa essere soddisfatto, è evidente che l’organizzazione dovrà avere un’idoneo sistema tecnico in grado di individuare tali informazioni all’interno del Sistema informativo aziendale allineato ai processi che le elaborano ai fini del trattamento.
- Diritto all’oblio: I cittadini europei devono essere in grado di richiedere non solo la cancellazione dei propri dati personali da un’organizzazione ma anche il blocco della condivisione degli stessi dati con terzi che a loro volta sono obbligati a cessare la loro elaborazione. Questo requisito ha evidenti implicazioni sia dal punto di vista legale riguardo I contratti tra delle Aziende con I propri fornitori nel caso siano ad esempio coinvolti nel trattamento di dati personali di propri clienti/dipendenti/pazienti che tecnici per assicurarsi ad esempio che I dati personali siano cancellati realmente da tutti I sistemi compresi quelli di backup.
La nuova legge rappresenta uno strumento significativo per difendere la libertà degli individui in un mondo globalizzato dove la libertà dei singoli sembra avere una dimensione meramente utopica. Non esistono altri modi efficaci per ottenere la compliance GDPR se non tramite un approccio sistemico.
Alessandro Di Fazio