31.01.2017_protezione dei dati_news

Protezione dei dati: il nuovo regolamento europeo

La General Data Protection Regulation (GDPR) è la nuova normativa europea per la protezione dei dati personali, che sostituisce e amplia l’attuale direttiva sulla privacy.

Diventata legge lo scorso maggio ha avuto un impatto immediato in tutti i paesi membri dell’Unione, anche se la sua applicazione sarà effettiva dal 25 maggio 2018.

Il GDPR ha come obiettivo quello di restituire ai cittadini il pieno e immediato controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti all’interno dei confini europei.

In particolare, il documento fornisce chiare indicazioni in caso di violazione dei dati (Data Breach), puntualizzando tutte le attività che il Titolare del trattamento dei dati deve intraprendere in questi casi, come l’obbligo di provvedere, immediatamente o comunque entro 72 ore, a notificare l’infrazione all’Autorità Garante competente e agli interessati i cui dati sono stati violati, se ci sono rischi per i loro diritti e le loro libertà. È quindi necessaria l’adozione di un processo strutturato di Incident Management per limitare il livello di rischio, affrontare in maniera sistematica gli eventi di Data Breach e fornire una risposta adeguata qualora episodi simili dovessero verificarsi.

Pubblica Amministrazione, realtà con oltre 250 dipendenti e tutte le imprese che svolgono attività che comportano la raccolta di dati sensibili avranno anche l’obbligo di creare un Registro dei trattamenti dei dati personali, che dovrà essere messo a disposizione dell’Autorità Garante, e di dotarsi di un Data Protection Officer (DPO).

Questa nuova figura professionale avrà il delicato compito di osservare, valutare e organizzare la gestione del trattamento di dati personali (e quindi la loro protezione) affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il DPO dovrà perciò possedere competenze giuridiche, informatiche, di risk management e di analisi dei processi.

Occorre precisare poi che il testo del regolamento non impone l’utilizzo di particolari strumenti tecnologici, ma indica attività e misure specifiche da adottare come il monitoraggio degli accessi ai dati, la gestione della sicurezza dei dati lungo tutto il loro ciclo di vita (security by design, Art.25), la cifratura (encryption) dei dati e la pseudonimizzazione (pseudonymization).

Questi sono solo alcuni degli accorgimenti che le aziende, per ridurre i rischi connessi alla raccolta d’informazioni personali e al loro trattamento, dovranno attuare entro maggio 2018 per mettersi in regola ed evitare pesanti sanzioni.