Cos'è il GDPR: la privacy e la protezione dei dati personali

Negli ultimi anni, l’attenzione ai temi della sicurezza e della tutela dei dati personali è stata a lungo dibattuta. Il motivo di un dibattito così acceso va ricercato nello sviluppo tecnologico. Ciò, infatti, ha portato all’attenzione del mercato, e quindi delle Autorità, tre fattori dell’informatica che influenzano il quotidiano:

la sempre maggiore interconnessione tra i sistemi;
la potenza di analisi e di calcolo;
la penetrazione e invasività che l’informatica ha nella vita quotidiana.

Tematiche quali Big Data, Internet of Things, Mobile, Geolocalizzazione, Social e servizi Cloud, portano con sé innumerevoli opportunità per il sistema economico. Portano, però, anche diverse implicazioni e controversie in materia di Privacy e Data Protection. È in questo contesto di trasformazione che ha trovato piena concretizzazione il General Data Protection Regulation (n. 2016/679), il nuovo Regolamento europeo sulla privacy, noto come GDPR.

Lo scopo di questa guida digitale sulla regolamentazione GDPR è quello di indagare a fondo sul mondo della privacy e della tutela dei dati personali. Per poterlo fare, si partirà con il capire cos'è il GDPR, come funziona e, soprattutto, come adeguarsi per le aziende. Un approfondimento, sarà dedicato, inoltre, anche il rapporto tra Data Protection e i principali trend di Innovazione Digitale, quali Big Data, IoT, Smart Working, Internet Advertising e molto altro. Tutto questo grazie all'aiuto dell'Osservatorio Cybersecurity e Data Protection del Politecnico di Milano, che da anni supporta le aziende nei diversi ambiti della Cyber Security.

Cosa si intende per GDPR

Prima di tutto, cerchiamo di capire cos’è il General Data Protection Regulation, meglio conosciuto come GDPR. Per farlo, ecco una definizione puntuale per capire nel dettaglio cos’è questa regolamentazione:

Il GDPR, acronimo di General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), è una normativa europea per la protezione dei dati.

Il Regolamento rappresenta un modo per garantire la sicurezza dei dati personali, attraverso investimenti, ruoli organizzativi, metodologie e strumenti specifici. Questa normativa europea ha innalzato l’attenzione verso la tutela dei dati personali, favorendo la crescita della fiducia dei cittadini europei nell’economia e nella società digitale.

Quando è nato il GDPR e da quando è in vigore

Il GDPR è il frutto di un lungo percorso legislativo, iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali.

Entrato in vigore il 24 maggio 2016, il GDPR, è diventato applicabile a partire dal 25 maggio 2018. Il periodo di transizione, durato due anni, ha permesso da un lato alla normativa italiana di adeguarsi al Regolamento e dall’altro ai soggetti destinatari (aziende, PA, ecc.) di implementare quanto necessario per mettersi in regola con la legge sulla privacy.

Lo scopo principale del GDPR e perché è stato introdotto

Dopo aver visto cos’è il GDPR ed aver dato una sua definizione e, soprattutto, da quando è entrato in vigore ora cercheremo di approfondire qual è il suo scopo principale, perché, quindi, è stato introdotto e voluto dall’Unione Europea.

Il GDPR persegue due scopi principali:

adeguare la normativa (risalente al 1995), alle nuove tecnologie
armonizzare ed uniformare la normativa stessa a livello europeo, creando un quadro normativo comune.

L’avvento del GDPR, ovvero, del nuovo Regolamento europeo sulla Protezione dei Dati Personali, ha letteralmente sconvolto il mercato digitale. Questo Regolamento europeo della privacy ha reso, infatti, necessaria l’introduzione di nuove competenze e strumenti per la gestione del patrimonio informativo aziendale. Tra questi spicca, ad esempio, il Data Protection Officer (DPO).

Dopo l'introduzione del GDPR, sono state anche introdotte delle novità anche in materia di responsabilità, certificazione dei trattamenti, valutazione d’impatto.

Cosa stabilisce il GDPR in 8 punti

Il GDPR ha revocato la precedente normativa per la Protezione dei Dati, ossia la Direttiva 95/46/CE del 24 ottobre 1995. Conseguentemente, ha annullato anche le normative nazionali emanate in applicazione della stessa, come il nostro Codice Privacy (decreto 196/2003), perlomeno nelle parti di diretta trasposizione della Direttiva.

Rispetto al Codice Privacy, le definizioni e i principi generali previsti nel GDPR sono rimasti sostanzialmente invariati. Ciò che è cambiato radicalmente con la sua introduzione è, invece, la filosofia della norma.

Si è passati, infatti, da un sistema normativo di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza da adottare), ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del Data Controller.

Al Data Controller, è richiesto, in particolar modo, un approccio proattivo, volto a prevenire (e non solo correggere) gli errori. Egli deve anche dimostrare la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni. Inoltre, è stato introdotto un nuovo approccio metodologico completamente risk-based, ossia basato sul rischio, che pone l'accento sulla valutazione e gestione dei rischi come base per prendere decisioni.

La tutela dei dati personali, con l’introduzione del GDPR, infatti, non può più essere considerata come un adempimento subordinato al business. Al contrario, deve essere un presupposto da considerare già nella fase di progettazione dei processi di trattamento degli stessi, dei servizi e dei prodotti, e la tematica deve essere calata all’interno dei processi e dell’organizzazione aziendale (la cosiddetta privacy by design). Oltre a questo sostanziale rovesciamento di prospettiva, il GDPR ha introdotto almeno 8 novità rilevanti.

Registro delle Attività di Trattamento [art.30 del GDPR]

Una delle prime novità introdotte dal GDPR, all’interno dell’articolo numero 30, è quella di tenere un registro delle attività con cui si tracciano i dati. L’articolo infatti dice:

Sia i Titolari che i Responsabili devono tenere un registro dei trattamenti, con la sola esclusione delle società e degli enti con meno di 250 dipendenti. Tale deroga viene meno in alcuni casi specifici come, per esempio, lo svolgimento di un trattamento di dati personali a rischio per i diritti e le libertà dell’interessato e che risulti non occasionale o che includa categorie particolari di dati personali o dati relativi a condanne penali e a reati.

Il registro dei trattamenti rappresenta, quindi, uno strumento fondamentale non soltanto ai fini dell'eventuale verifica da parte del Garante della Privacy, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda, indispensabile per ogni valutazione e analisi del rischio.

Valutazione d'impatto [artt.35-36 del GDPR]

Un’altra novità rilevante introdotta dal GPDR è la valutazione d’impatto. In questo caso si parla di stabilire:

Qualora un trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare è chiamato a effettuare, prima di procedere al trattamento dei dati, una valutazione d’impatto sui trattamenti che intende realizzare. Per rischio si intende il rischio di impatti negativi sulle libertà e sui diritti degli interessati.

La valutazione d’impatto introdotta con il GDPR è richiesta in particolare qualora s’intenda effettuare una valutazione sistematica e globale di aspetti personali relativi a persone fisiche. Essa è basata su:

un trattamento automatizzato
un trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e a reati (es. sorveglianza sistematica ad ampio raggio di una zona accessibile al pubblico).

Misure tecniche organizzative adeguate [art.32]

Altra novità del GDPR sono le misure tecniche organizzative adeguate. Nel caso specifico, non sono più previste misure minime di sicurezza (ex art. 33 Codice). Infatti è prescritto, in capo al Titolare e ai Responsabili, l’obbligo di:

adottare misure tecniche e organizzative adeguate al rischio (a titolo esemplificativo e non esaustivo indichiamo pseudonimizzazione e cifratura; capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali).

La valutazione di queste misure introdotte dal GDPR viene rimessa, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati e va tenuto conto non solo della natura, ambito, contesto e finalità del trattamento, ma anche dello stato dell’arte (evoluzione tecnologica) e dei costi di attuazione.

Analisi dei rischi [art.32 del GDPR]

Altra novità introdotta dal GDPR è l’analisi dei rischi. In questo caso specifico, nel valutare l’adeguato livello di sicurezza, il Titolare ed il Responsabile devono:

effettuare un’analisi dei rischi derivanti dal tipo di trattamento che intendono realizzare, quali quelli di distruzione, perdita, modifica, divulgazione non autorizzata e accesso, in modo accidentale o illegale, ai dati personali trasmessi/conservati o comunque trattati.

Responsabile della Protezione Dati - DPO [artt.37-39]

Una delle novità principali introdotte dal GDPR, come anche anticipato all’inizio di questa guida, è il Data Protection Officer, o DPO. Questa è una figura con compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziale (dare pareri), alcuni sono interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo). La sua figura è di fondamentale importanza in quanto è volta a facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dalla nuova disciplina.

Certificazione dei trattamenti [artt.42-43]

Il GDPR promuove, tra le altre novità, l'istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai Titolari e dai Responsabili. La certificazione è volontaria ed accessibile tramite una procedura trasparente che dovrà essere basata su criteri previamente approvati dalle Autorità di controllo competenti.

L’ottenimento di questa certificazione, però, non riduce le responsabilità in capo al Titolare e al Responsabile del trattamento, ma offre una mera presunzione relativa di conformità che sia il Garante della Privacy, sia l'autorità giudiziaria sono libere di valutare. Infatti, rimangono impregiudicati i compiti e i poteri delle autorità di controllo competenti.

Entità delle Sanzioni [artt.83-84]

Il GDPR prevede la possibilità per le Autorità nazionali di irrogare sanzioni fino a 20 milioni di euro o, in caso di imprese, al 4% del fatturato globale annuo, a seconda di quale risulti la sanzione più elevata. Le sanzioni più alte si applicano nel caso di:

violazioni dei principi del trattamento, incluse le condizioni per il consenso;
violazione dei diritti degli interessati;
inosservanza delle norme in tema di trasferimento internazionale dei dati;
violazione di obblighi previsti dalle legislazioni degli Stati membri;
inosservanza di un ordine, di una limitazione provvisoria, o definitiva di trattamento o di un ordine di sospensione dei flussi dei dati dell’autorità di controllo, o il negato accesso.

Maggiore responsabilità [art.82]

Il GDPR sancisce una maggiore responsabilità del cosiddetto Data Processor, che può ricevere direttamente richieste da parte dell’Autorità Garante; è direttamente passibile di sanzioni amministrative; può rispondere direttamente per il danno causato dal trattamento non solo se non ha rispettato le istruzioni del Titolare, ma anche se non ha adempiuto agli obblighi del GDPR specificamente diretti ai Responsabili.

Quale normativa ha introdotto il GDPR in Italia

Gli impatti che il regolamento europeo per la privacy ha avuto su processi, organizzazione e budget delle imprese sono più che evidenti. È, tuttavia, necessario precisare come l’intera tematica della protezione dei dati personali non sia disciplinata solamente a livello europeo.

In particolare, nel nostro Paese, è entrato in vigore il decreto legislativo 101/2018 di adeguamento della normativa italiana al GDPR. Diverse le novità introdotte da tale decreto in materia di Data Protection, specie in ambito diritti degli interessati, esercizio dei diritti riguardanti le persone decedute, consensi del minore e sanzioni amministrative.

In sintesi, lo scopo del provvedimento, in vigore dal 19 settembre 2018 (quindi tre mesi dopo l'attuazione del regolamento europeo) è stato quello di integrare e modificare, nei limiti e all’interno del quadro precisamente stabilito a livello europeo, il Codice Privacy che aveva precedentemente rappresentato la normativa di riferimento in Italia in materia di protezione dei dati. È importante, tuttavia, specificare come il Codice Privacy non sia stato interamente abrogato.

Come adeguarsi al GDPR?

Dalla teoria, passiamo alla pratica. Il General Data Protection Regulation richiede la definizione di una roadmap di adeguamento nelle imprese italiane. Lo scopo di un progetto in tal senso è quello di assicurare un'applicazione coerente e omogenea della norma e di valutare le implicazioni sui processi già esistenti.

In tal senso, è possibile suddividere il percorso di adeguamento al nuovo Regolamento Europeo in 9 step:

valutazione della compliance;
creazione del registro dei trattamenti;
stesura e modifica della documentazione;
individuazione di ruoli e responsabilità;
definizione delle politiche di sicurezza e valutazione dei rischi;
processo di Data Breach;
valutazione d'impatto sulla protezione dei dati personali;
processi per l'esercizio dei diritti dell'interessato;
nomina del Data Protection Officer (DPO)

Sempre riguardo all’adeguamento al GDPR, in Italia si registrano progressi significativi, con aumenti nel budget a disposizione delle organizzazioni e nel grado di maturità, in termini di concretezza dei progetti e di cambiamenti organizzativi mirati.

A cosa si applica il GDPR, la tutela dei dati nel digitale

Il tema della tutela e della protezione dei dati personali in azienda va oltre l’applicazione del GDPR. I trend propri della Trasformazione Digitale, come Big Data, Internet of Things, Advertising e altri, richiedono nuove tecnologie, modelli organizzativi, competenze e regole per garantire insieme l’innovazione e la protezione degli asset informativi aziendali.

Nel proseguo della guida approfondiremo quindi qual è il rapporto tra Innovazione Digitale e tutela dei dati personali, attraverso diversi focus dedicati ai trend innovativi. Prima però, una domanda preliminare: cosa sono i dati personali così importanti da tutelare?

Ebbene, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (da qui in poi, «interessato»). Tali dati possono essere poi essere distinti in Provided Data (forniti consapevolmente e volontariamente), Observed Data (raccolti automaticamente ad esempio tramite cookie), Derived Data (prodotti da altri dati in modo relativamente semplice e diretto) e Inferred Data (prodotti utilizzando un metodo analitico complesso).

La Protezione Dati nei progetti di Big Data

Come raccogliere i dati degli utenti e, allo stesso tempo, rispettare la loro privacy? È proprio questo il problema a cui fa fronte il GDPR.

Infatti, puntando sulla responsabilizzazione del Titolare del trattamento, l’obiettivo della normativa è garantire un livello di sicurezza dei dati conforme al loro grado di rischio. Gestire i Big Data con consapevolezza può sicuramente apportare numerosi benefici per il futuro.

GDPR e Media digitali, quali impatti?

Il GPDR viene incontro sia all’esigenza delle aziende di utilizzare tecnologie per la raccolta sia al trattamento di un sempre maggior numero di informazioni, utili per diverse attività, fra cui il Marketing e la clusterizzazione.

L'impatto sul mondo dei media è quindi rilevante e tocca temi fondamentali quali la profilazione a scopo di Marketing e la gestione dei cookies. Alle disposizioni del GDPR si aggiunge anche il Regolamento ePrivacy, ancora in corso di approvazione, nel quale verranno disciplinate attività di marketing, eCommerce, call center e pubblicità online con effetti più che rilevanti sui media europei e mondiali.

Privacy e dispositivi IoT, come tutelare i dati

Con la crescente diffusione dei dispositivi IoT, aumentano anche i rischi per la privacy degli utenti. Infatti, come dimostrano i numerosi attacchi hacker subiti da imprese e privati, gli oggetti connessi – proprio perché collegati alla rete – presentano un’elevata vulnerabilità informatica, se non adeguatamente protetti.

Per conciliare la crescita del mercato IoT con la protezione della privacy, il GDPR regolamenta la raccolta dei dati provenienti da questi dispositivi, facendo sì che la sicurezza di tali dati sia una priorità non solo in fase di vendita di tali prodotti, ma già durante la loro progettazione (il principio della cosiddetta Privacy by design).

La Privacy per gli Smart Worker

Se applicato adeguatamente, il GDPR non dovrebbe comportare particolari difficoltà nel mondo dello Smart Working, ma i rischi di una violazione sono sempre dietro l’angolo. Infatti, le informazioni aziendali in possesso di un dipendente che lavora da casa sono altamente sensibili e le occasioni per violarne la privacy non mancano: accedendo al database aziendale, contattando i clienti o comunicando su Skype.

Ma come aiutare gli smart worker a non infrangere le regole in materia di Data Protection? La chiave sta in una formazione adeguata, in modo che i lavoratori possano cogliere fino in fondo la sensibilità dei dati in loro possesso.

GDPR e Privacy, cos'è e come cambia per il trattamento e la protezione dei dati