corriere150repubblica150

giornale150

sole24ore150

 

IlMessaggero-punto-itiltempo

 

ilpiccolo

ilmattino

 

 

lastampa.itil secoloxix

 

ilgiorno

avvenire

 

 

 

 


REGOLAMENTO UE 2016/679: IN SOSTANZA, COSA CAMBIA?

“Se vogliamo che tutto rimanga com’è,

bisogna che tutto cambi”

Regolamento Privacy UE

Questa enigmatica frase pronunciata da Tancredi nel Gattopardo, nota per aver saputo fotografare - in modo cinico ma fedele - un certo immobilismo italico dell’epoca, si presta bene a fornire una sintesi dei principi che hanno ispirato il Nuovo Regolamento UE 2016/679 (o GDPR), entrato in vigore il 25 maggio 2016 e che si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.

Nuovo Regolamento: a quale scopo?

Il GDPR è nato con l’intento di rafforzare la tutela dei dati personali dei cittadini UE, di fronte ai “nuovi rischi” (ormai non più così nuovi…) dovuti alla trasformazione digitale avviatasi nel Secondo Millennio. La rivoluzione digitale era agli inizi e l’impatto principale sulle PMI era il budget per un sito web statico. Oggi la situazione è totalmente diversa, confrontata a quella di poco più di qualche decennio fa: allora non c’erano Facebook, i-phone, né Big Data o cloud.

Le imprese saranno pronte?

Il Nuovo Regolamento sicuramente avrà un impatto globale che molti, troppi, sottovalutano. Secondo Gartner oltre il 50% delle imprese coinvolte non sarà pronto entro la data ultima per essere “totally compiant”, e quindi risulterà non conforme. Questo in primo luogo significa che la privacy dei cittadini dell’UE è già fortemente a rischio, mentre per le imprese potrebbe significare un esborso di denaro anche importante in virtù di sanzioni e penali. Per questo motivo le imprese devono muoversi subito e cercare di recuperare il tempo perduto.

Cosa dire delle PMI?

Le società di consulenza nonché i fornitori di tecnologia sono pronti a far fronte alla grande mole di sevizi che le aziende dovranno chiedere. Certo, ci si aspetta che banche e assicurazioni, operatori B2C internazionali, compagnie di telecomunicazione, internet companies, PA e Sanità, stiano da tempo lavorando per essere conformi (perché obbligati a farlo). Ma questa è solo una parte del mercato. E le PMI? È vero che in passato le piccole e medie imprese non hanno avuto un grande impatto, ma nell’era digitale il quadro non può rimanere lo stesso.

Le responsabilità del titolare

Il GDPR delinea un quadro normativo tutto incentrato sui doveri e sulla responsabilizzazione del titolare del trattamento, rovesciando la prospettiva: la normativa precedente si basava infatti sui diritti dell'interessato.

Il Data Protection Officer

Il DPO è una figura di nuova introduzione, che dovrà essere tra l’altro garante della privacy all’interno dell’organizzazione che lo nomina. È importante che questa figura venga immediatamente identificata, fornendole le risorse necessarie all’espletamento delle attività previste dal regolamento.

Gli ambiti di intervento in azienda

Se ne possono classificare cinque:

1. Il controllo pieno all’accesso ai dati fisici sia su DB strutturati sia destrutturati, delle seguenti tipologie: Dati anagrafici e demografici, ID Nazionali (codice fiscale, passaporto, targhe, tessere sanitarie), Canali di comunicazione (telefono, email, codice postale), Conti finanziari, Carte di credito, Riferimenti Organizzazione di appartenenza, Identificativi digitali, Social Media e Ulteriori dati sensibili (salute, religione, indirizzo di pensiero)

2. Identificazione dei dati personali (accesso immediato, profilazione, deduplica e sicurezza)

3. Governo dei dati: le policy, la governance tout court, il collegamento dei processi, la gestione delle responsabilità

4. Strategie di protezione dei dati. Quali strumenti usare per anonimizzare i record di dati (tra cui appunto gli pseudonimi) e la crittografia

In generale:

5. Il controllo rigoroso delle procedure applicate: reportistica interna, censimenti, verifiche, gestione e rapporto con il pubblico

Il concetto di rischio nelle PMI

Uno dei cambiamenti di rotta più significativi introdotti dal Nuovo Regolamento è la presenza diffusa di forti richiami al concetto di rischio. Anche il DPO è esplicitamente chiamato a considerare i rischi nello svolgimento dei propri compiti. Questa impostazione lascia finalmente intravedere un approccio orientato a favorire la presa di coscienza dei rischi in cui si incorre con le attività che prevedono il trattamento dei dati personali e la scelta di contromisure adeguate a contrastarli. Il rovescio della medaglia è che, a fronte della piena discrezionalità, sarà facile aspettarsi approcci alla gestione del rischio anche opinabili, soprattutto da parte di quelle PMI che normalmente non possono contare su competenze professionali dedicate o selezionate in materia.

GDPR: NON SOLO OBBLIGHI

Il Nuovo Regolamento UE, così come è formulato, pone senza dubbio obblighi di compliance piuttosto stringenti nei confronti degli operatori che trattano dati personali. D’altra parte va osservato come l’adozione di uno strumento normativo quale, appunto, il Regolamento - che comporta l’applicazione di una disciplina unica in tutta l’UE - agevoli non poco l’esercizio del business di un’impresa che non si troverà più di fronte a quell’incertezza giuridica derivante da normative diverse per ogni Stato, ai costi e alla burocrazia a esse connesse, facilitando notevolmente l’ingresso e l’affermazione delle PMI sul mercato.

Condividi
comments
  • Menabrea_2
  • Menabrea_1

In primo piano