Information Security & Privacy

GDPR e Privacy: tutto sul nuovo Regolamento europeo

14 marzo 2018 / Di Gabriele Faggioli / Nessun commento

Il General Data Protection Regulation (GDPR) sta introducendo importanti novità nella gestione dei dati personali, dunque della Privacy, nonché sulla Security aziendale, a quest'ultima strettamente legata. Il focus passa da un sistema normativo di tipo formalistico ad un sistema di governance basato su un’alta responsabilizzazione sostanziale del Data Controller.


Gli obiettivi del nuovo Regolamento Generale sulla protezione dei dati personali 

Il percorso legislativo che ha portato all’emanazione di questo regolamento europeo è iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali.

Il GDPR persegue due obiettivi fondamentali:

  • adeguare la normativa, ormai risalente al 1995, alle nuove tecnologie;
  • armonizzare ed uniformare la normativa stessa a livello europeo, creando un quadro normativo comune.

Per perseguire questo secondo obiettivo, lo strumento giuridico prescelto dal legislatore europeo è stato quello del Regolamento, direttamente applicabile in tutti gli Stati membri, e non, come in passato, quello della direttiva, che, necessitando di recepimento nei singoli Paesi, crea differenze normative, a volte rilevanti, fra i singoli Stati membri.

GDPR & Privacy: quale percorso per le aziende?   Scarica Infografica

gdpr e privacy: il nuovo regolamento


L'impatto del GDPR sulla Privacy

Il Regolamento Generale è entrato in vigore il 24 maggio 2016 ed applicabile a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni.

Rispetto al Codice Privacy, le definizioni e i principi generali in esso previsti rimangono sostanzialmente invariati. In particolare non sono variati o sono variati in maniera marginale i seguenti aspetti:

  • definizione di trattamento;
  • definizione di dato personale;
  • principi relativi al trattamento di dati;
  • liceità del trattamento;
  • obbligo di informativa;
  • obbligo di consenso;
  • protezione delle sole persone fisiche.

Ciò che cambia radicalmente è invece la filosofia della norma.

La "responsabilizzazione" del Data Controller"

Si passa, infatti, da un sistema normativo di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza da adottare), ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del Data Controller.

A quest'ultimo è richiesto in particolar modo un approccio proattivo, volto a prevenire (e non solo correggere) gli errori, nonché a dimostrare, anche documentalmente e/o tramite l’adozione di appropriate policy interne (da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza  delle proprie scelte/valutazioni.

La maggiore discrezionalità per i Titolari del trattamento di decidere le modalità attraverso le quali conformarsi alle disposizioni del GDPR è gravata, inoltre, dall’onere di provare le ragioni che hanno portato a tali decisioni e le motivazioni alla base delle scelte effettuate.

Devi metterti in regola con il GDPR? Ecco come fare!   Scopri il percorso

tutto sul nuovo regolamento privacy

Un approccio "risk-based"

Viene inoltre introdotto un nuovo approccio metodologico completamente risk-basedPare quindi opportuno sottolineare che la Privacy non potrà più essere considerata come una seccatura o al più come un adempimento ancillare al business.

Al contrario la tutela dei dati personali dovrà essere un presupposto da considerare già nella fase di progettazione dei processi di trattamento degli stessi, dei servizi e dei prodotti, e la tematica dovrà essere calata all’interno dei processi e dell’organizzazione aziendale (la cosiddetta privacy by design).

Come adeguarsi al GDPR

Il General Data Protection Regulation, come ovvio, richiede ad aziende e Pubbliche Amministrazioni un processo di adeguamento alle nuove norme sulla Privacy. Il fine è quello di assicurare un'applicazione coerente e il più possibile omogenea di queste norme, nonché di correggere o affinare i sistemi di gestione già esistenti all'interno dell'organizzazioni.

Per non arrivare impreparati al 25 maggio 2018, giorno dell'effettiva entrata in vigore del Regolamento, le aziende sono chiamate a seguire un percorso di adeguamento che si può scomporre in 9 tappe ben delineate ma non per forza sequenziali.

Possiamo così riassumere queste 9 fasi:

  1. valutazione della compliance;
  2. creazione del registro dei trattamenti;
  3. stesura e modifica della documentazione;
  4. individuazione di ruoli e responsabilità;
  5. definizione delle politiche di sicurezza e valutazione dei rischi;
  6. processo di Data Breach;
  7. valutazione d'impatto sulla protezione dei dati personali;
  8. processi per l'esercizio dei diritti dell'interessato;
  9. nomina del Data Protection Officer (DPO)

Per approfondire questa roadmap, punto per punto, puoi leggere la nostra guida dedicata a GDPR e adeguamento .


Le novità del GDPR in sintesi

Sintetizzando, oltre a un sostanziale rovesciamento di prospettiva, il nuovo Regolamento europeo sulla Privacy ha introdotto ulteriori novità, assai rilevanti.

  • Registro delle attività di trattamento
  • Analisi dei rischi
  • Valutazione d’impatto
  • Misure tecniche organizzative adeguate
  • Responsabile della protezione dei dati (il DPO)
  • Certificazione dei trattamenti
  • Maggiore responsabilità dei “Responsabili”
  • Entità delle sanzioni

Le sanzioni per le aziende: un focus

Proprio in merito al quadro sanzionatorio, le sanzioni più basse (fino a 10.000.000 euro o al 2% del fatturato globale annuo) si applicano in caso di violazione degli obblighi previsti in capo al Titolare e al Responsabile, all’organismo di certificazione e all’organismo di controllo. Non potendo fissare direttamente, per difetto di competenza, le sanzioni penali, l’UE demanda ai singoli Stati membri l’individuazione delle stesse. Pertanto, sotto questo aspetto, non vi sarà concreta uniformità e armonizzazione a livello europeo.

Vuoi approfondire tutte le novità del GDPR?      Scarica il report

Gabriele Faggioli

Gabriele Faggioli

Giurista, Responsabile Scientifico Osservatorio Information Security & Privacy Politecnico di Milano, Adjunct Professor MIP-Politecnico di Milano, Presidente Clusit (Associazione Italiana per la Sicurezza Informatica)

Articoli più letti