corriere150repubblica150

giornale150

sole24ore150

 

IlMessaggero-punto-itiltempo

 

ilpiccolo

ilmattino

 

 

lastampa.itil secoloxix

 

ilgiorno

avvenire

 

 

 

 


PRIVACY E PROTEZIONE DEI DATI NELL’ERA DELLA TRASFORMAZIONE DIGITALE

IL NUOVO REGOLAMENTO UE SULLA PRIVACY: UN CAMBIAMENTO CULTURALE

Regolamento Privacy UE

Gli ultimi 20 anni hanno visto un cambiamento sostanziale nel modo in cui le aziende e i consumatori effettuano transazioni e scambi di informazioni su Internet. Oggi in materia di Privacy è in vigore in Italia il D.Lgs. 196/2003, che sostituì la L.675/1996. È una norma nata in tempi nei quali il web ed i rischi ad esso connessi erano ancora poco conosciuti. Allora non si parlava di, Facebook, Whatsapp, Dropbox né di app, cloud di big data… strumenti che hanno rivoluzionato il nostro modo di comunicare e di operare.

I provvedimenti allora emessi dal Garante della Privacy non decadranno (a condizione che non siano in contrasto con il GDPR, General Data Protection Regulation). Restano infatti sostanzialmente invariati la definizione di trattamento e dato personale, i Principi relativi al trattamento di dati, la Liceità del trattamento, l’Informativa e il Consenso.

Può sembrare che manchi ancora molto tempo per adeguarsi, eppure non è poi così vero...

Per colmare il profondo gap creatosi nel corso degli ultimi due decenni, il 25 maggio 2016 è entrato in vigore il Regolamento UE n. 2016/679 (in seguito Nuovo Regolamento o GDPR). Da quella data è stato accordato agli Stati UE un tempo 24 mesi per adeguare le proprie normative interne, lasciando tuttavia ai legislatori nazionali la facoltà di introdurre, a seconda delle circostanze, norme nazionali ad hoc. Ciò comporta che i soggetti e le imprese coinvolte avranno tempo fino al 24 maggio 2018 per organizzarsi e adeguarsi alle nuove regole, dopodiché queste diverranno obbligatorie comportando la piena applicabilità in tutta l’Unione Europea di sanzioni amministrative pecuniarie non trascurabili: queste potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo. Il nuovo quadro normativo è tutto incentrato sui doveri e sulla responsabilizzazione (accountability) del Titolare del trattamento, rovesciando la prospettiva: la normativa precedente si basava infatti sui diritti dell'interessato. Il testo del GDPR si sviluppa essenzialmente su processi, attività, misure tecniche e organizzative, sanzioni e obblighi rivolti a Titolare (e responsabile) del trattamento. Il nuovo Regolamento rappresenta una rivoluzione nella valutazione della sicurezza dei dati: si passa da una logica di “minimo” a una logica di “adeguato” in base ai rischi corsi (e nei casi previsti alla valutazione di impatto). Nel contesto attuale e in quello di un futuro prevedibile non è più sostenibile che sicurezza e tutela dei dati personali siano un affare per pochi perché il loro trattamento coinvolge, di fatto, molti soggetti, grandi e piccoli, in Italia, in Europa e nel mondo. Non c’è una relazione che leghi la dimensione aziendale con la quantità e la criticità dei dati trattati.Si tratta di un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’identità e la libertà delle stesse.

 

risk management

ANALISI E GESTIONE DEL RISCHIO

Nei miei articoli precedenti ho trattato con un certo approfondimento, tra le novità introdotte dal Nuovo Regolamento, la figura del DPO (Data Protection Officer) e la Formazione obbligatoria, argomenti su cui ritorneremo. In questo numero vi voglio parlare della gestione del rischio relativo alla protezione dei dati personali che, vista la sua centralità, è senza dubbio uno di quelli su cui iniziare a lavorare per primo.

Uno dei cambiamenti di rotta più significativi introdotti dal Nuovo Regolamento è la presenza diffusa di forti richiami al concetto di rischio, che vuole estendere la cultura del rischio inteso come driver delle decisioni del management anche nel contesto della protezione dei dati personali. Tra le novità di rilievo vi è l'introduzione dell'obbligo, per il Titolare del trattamento dei dati, di tenere un "registro delle attività di trattamento", svolte sotto la propria responsabilità, nonché quello di effettuare una "valutazione di impatto sulla protezione dei dati". È necessario decidere come si vuole gestire il rischio definendo chi lo deve valutare, il metodo da utilizzare, quando svolgere la valutazione e quali sono le interazioni con le altre tipologie di rischio (prima tra tutte quella molto affine con i rischi relativi alla sicurezza delle informazioni). A fronte di trattamenti che presentino rischi elevati, il Titolare è tenuto a verificare in via preliminare a quali conseguenze un processo andrebbe incontro nel caso in cui venissero violate le misure di protezione dei dati. Qualora all’esito di tale valutazione il Titolare ritenga che sussiste un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, dovrà consultare il Garante Privacy. Il rischio è un elemento discriminante per il Titolare per decidere se comunicare o meno una violazione dei dati personali agli interessati, per le PMI per il mantenimento di un registro dei trattamenti, per decidere se adottare misure di sicurezza tecniche e organizzative ed effettuare valutazioni d’impatto sulla protezione dei dati e, conseguentemente, consultazioni preventive.

 

 

Condividi
comments
  • Menabrea_2
  • Menabrea_1

In primo piano