In questa pagina:

  • Cos'è il GDPR e cosa prevede?
  • Perché l'Unione Europea ha voluto il GDPR?
  • Cosa stabilisce il GDPR in 8 punti
  • Quale normativa ha introdotto il GDPR in Italia
  • A cosa si applica il GDPR, la tutela dei dati nel digitale

Cos'è il GDPR e cosa prevede?

Negli ultimi anni, l’attenzione ai temi della sicurezza e della tutela dei dati personali è stata a lungo dibattuta. Il motivo di un dibattito così acceso, va ricercato nello sviluppo tecnologico che ha portato all’attenzione del mercato, e quindi delle Autorità, la sempre maggiore interconnessione dei sistemi, la potenza di analisi e di calcolo e la penetrazione e invasività che l’informatica ha nella vita quotidiana.

Temi quali Big Data, Internet of Things, Mobile, Geolocalizzazione, Social e servizi Cloud, portano con sé innumerevoli opportunità per il sistema economico, ma anche diverse implicazioni e controversie in materia di Privacy e Data Protection. È in questo contesto di trasformazione che ha trovato piena concretizzazione il General Data Protection Regulation (n. 2016/679), vale a dire il nuovo Regolamento europeo sulla privacy, noto ai più con la sigla GDPR.

Lo scopo di questa guida, grazie all'aiuto dell'Osservatorio Cybersecurity e Data Protection, è quello di indagare a fondo sul mondo della privacy e della tutela dei dati personali. Per poterlo fare, si partirà con il capire cos'è il GDPR, come funziona, come applicarlo. È bene domandarsi quali siano le novità principali introdotte dal Regolamento, nonché sul relativo stato di adeguamento delle imprese italiane.

Un approfondimento, sarà dedicato, inoltre, anche il rapporto tra Data Protection e i principali trend di Innovazione Digitale, quali Big Data, IoT, Smart Working, Internet Advertising, Fintech e molto altro. Cercheremo, inoltre, di capire cosa è cambiato in ambito Data Protection dopo l'introduzione del Regolamento e quali sono le azioni che stanno mettendo in atto le aziende italiane per adeguarsi alla normativa e le relative difficoltà riscontrate durante il percorso.

Perché l'Unione Europea ha voluto il GDPR?

Prima di capire le motivazioni della volontà di introdurre un regolamento europeo per la protezione dei dati, chiariamo quando è entrato in vigore il GDPR. Il regolamento generale sulla protezione dei dati è il frutto di un lungo percorso legislativo, iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali.

Il regolamento europeo è entrato in vigore il 24 maggio 2016 ed è diventato applicabile a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni, che ha permesso ai soggetti destinatari di implementare quanto necessario per mettersi in regola con la legge privacy.

Dopo aver visto da quando il regolamento europeo è entrato in vigore ora, però, un'altra domanda nasce spontanea: qual è lo scopo principale del GDPR?

Il GDPR persegue due scopi principali: da un lato, adeguare la normativa (risalente al 1995), alle nuove tecnologie, dall’altro armonizzare ed uniformare la normativa stessa a livello europeo, creando un quadro normativo comune. L’avvento del nuovo Regolamento europeo sulla Protezione dei Dati Personali ha letteralmente sconvolto il mercato digitale.

Il regolamento europeo della privacy rende, infatti, necessaria l’introduzione di nuove competenze e strumenti per la gestione del patrimonio informativo aziendale. Tra questi spicca, ad esempio, il Data Protection Officer (DPO). Dopo l'introduzione del regolamento europeo, sono state anche introdotte delle novità anche in materia di responsabilità, certificazione dei trattamenti, valutazione d’impatto.

Cosa stabilisce il GDPR in 8 punti

Il regolamento europeo ha abrogato la precedente normativa in materia, ossia la Direttiva 95/46/CE del 24 ottobre 1995 e, conseguentemente, anche le normative nazionali emanate in applicazione della stessa, come il nostro Codice Privacy (decreto 196/2003), perlomeno nelle parti di diretta trasposizione della Direttiva.

Rispetto al Codice Privacy, le definizioni e i principi generali previsti nel Regolamento europeo sono rimasti sostanzialmente invariati. Ciò che è cambiato radicalmente con la sua introduzione è, invece, la filosofia della norma. Si è passati, infatti, da un sistema normativo di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza da adottare), ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del Data Controller.

Al Data Controller, è richiesto, in particolar modo, un approccio proattivo, volto a prevenire (e non solo correggere) gli errori, nonché a dimostrare la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni. Inoltre, è stato introdotto un nuovo approccio metodologico completamente risk-based.

La tutela dei dati personali non può più essere considerata come un adempimento subordinato al business. Al contrario, deve essere un presupposto da considerare già nella fase di progettazione dei processi di trattamento degli stessi, dei servizi e dei prodotti, e la tematica deve essere calata all’interno dei processi e dell’organizzazione aziendale (la cosiddetta privacy by design). Oltre a questo sostanziale rovesciamento di prospettiva, il GDPR ha introdotto almeno 8 novità rilevanti.

Registro delle Attività di Trattamento [art.30 del GDPR]

Sia i Titolari che i Responsabili devono tenere un registro dei trattamenti, con la sola esclusione delle società e degli enti con meno di 250 dipendenti. Tale deroga viene meno in alcuni casi specifici come, per esempio, lo svolgimento di un trattamento di dati personali a rischio per i diritti e le libertà dell’interessato e che risulti non occasionale o che includa categorie particolari di dati personali o dati relativi a condanne penali e a reati. Il registro dei trattamenti rappresenta uno strumento fondamentale non soltanto ai fini dell'eventuale verifica da parte del Garante della Privacy, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda, indispensabile per ogni valutazione e analisi del rischio.

Valutazione d'impatto [artt.35-36 del GDPR]

Qualora un trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare è chiamato a effettuare, prima di procedere al trattamento dei dati, una valutazione d’impatto sui trattamenti che intende porre in essere. Per rischio si intende il rischio di impatti negativi sulle libertà e sui diritti degli interessati.

La valutazione d’impatto è richiesta in particolare qualora s’intenda effettuare una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato oppure quando si tratti di un trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e a reati (es. sorveglianza sistematica ad ampio raggio di una zona accessibile al pubblico).

Misure tecniche organizzative adeguate [art.32]

Non sono più previste misure minime di sicurezza (ex art. 33 Codice), ma è prescritto, in capo al Titolare e ai Responsabili, l’obbligo di adottare misure tecniche e organizzative adeguate al rischio (a titolo esemplificativo e non esaustivo indichiamo pseudonimizzazione e cifratura; capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali).

La valutazione viene rimessa, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati e tenuto conto non solo della natura, ambito, contesto e finalità del trattamento, ma anche dello stato dell’arte (evoluzione tecnologica) e dei costi di attuazione.

Analisi dei rischi [art.32 del GDPR]

Nel valutare l’adeguato livello di sicurezza, il Titolare ed il Responsabile devono effettuare un’analisi dei rischi derivanti dal tipo di trattamento che intendono porre in essere, quali quelli di distruzione, perdita, modifica, divulgazione non autorizzata e accesso, in modo accidentale o illegale, ai dati personali trasmessi/conservati o comunque trattati.

Responsabile della Protezione Dati - DPO [artt.37-39]

Il Data Protection Officer è una figura con compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziale (dare pareri), alcuni sono interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo). La sua figura è di fondamentale importanza in quanto è volta a facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dalla nuova disciplina.

Certificazione dei trattamenti [artt.42-43]

Il GDPR promuove l'istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai Titolari e dai Responsabili. La certificazione è volontaria ed accessibile tramite una procedura trasparente che dovrà essere basata su criteri previamente approvati dalle Autorità di controllo competenti.

L’ottenimento della certificazione non riduce le responsabilità in capo al Titolare e al Responsabile del trattamento, ma offre una mera presunzione relativa di conformità che sia il Garante della Privacy, sia l'autorità giudiziaria sono libere di valutare. Infatti rimangono impregiudicati i compiti e i poteri delle autorità di controllo competenti.

Entità delle Sanzioni [artt.83-84]

Il GDPR prevede la possibilità per le Autorità nazionali di irrogare sanzioni fino a 20 milioni di euro o, in caso di imprese, al 4% del fatturato globale annuo, a seconda di quale risulti la sanzione più elevata. Le sanzioni più alte si applicano nel caso di:

  • violazioni dei principi del trattamento, incluse le condizioni per il consenso;
  • violazione dei diritti degli interessati;
  • inosservanza delle norme in tema di trasferimento internazionale dei dati;
  • violazione di obblighi previsti dalle legislazioni degli Stati membri;
  • inosservanza di un ordine, di una limitazione provvisoria, o definitiva di trattamento o di un ordine di sospensione dei flussi dei dati dell’autorità di controllo, o il negato accesso.

Maggiore responsabilità [art.82]

Il GDPR sancisce una maggiore responsabilità del cosiddetto Data Processor, che può ricevere direttamente richieste da parte dell’Autorità Garante; è direttamente passibile di sanzioni amministrative; può rispondere direttamente per il danno causato dal trattamento non solo se non ha rispettato le istruzioni del Titolare, ma anche se non ha adempiuto agli obblighi del GDPR specificamente diretti ai Responsabili.

Quale normativa ha introdotto il GDPR in Italia

Gli impatti che il regolamento europeo per la privacy ha avuto su processi, organizzazione e budget delle imprese sono più che evidenti. È, tuttavia, necessario precisare come l’intera tematica della protezione dei dati personali non sia disciplinata solamente a livello europeo.

In particolare, nel nostro Paese, è entrato in vigore il decreto legislativo 101/2018 di adeguamento della normativa italiana al GDPR. Diverse le novità introdotte da tale decreto in materia di Data Protection, specie in ambito diritti degli interessati, esercizio dei diritti riguardanti le persone decedute, consensi del minore e sanzioni amministrative.

In sintesi, lo scopo del provvedimento, in vigore dal 19 settembre 2018 (quindi tre mesi dopo l'attuazione del regolamento europeo) è stato quello di integrare e modificare, nei limiti e all’interno del quadro precisamente stabilito a livello europeo, il Codice Privacy che aveva precedentemente rappresentato la normativa di riferimento in Italia in materia di protezione dei dati. È importante tuttavia specificare come il Codice Privacy non sia stato interamente abrogato.

Come adeguarsi al GDPR?

Dalla teoria, passiamo alla pratica. Il General Data Protection Regulation richiede la definizione di una roadmap di adeguamento nelle imprese italiane. Lo scopo di un progetto in tal senso è quello di assicurare un'applicazione coerente e omogenea della norma e di valutare le implicazioni sui processi già esistenti.

In tal senso, è possibile suddividere il percorso di adeguamento al nuovo Regolamento Europeo in 9 step: valutazione della compliance, individuazione dei responsabili del trattamento, nomina del DPO, creazione del registro dei trattamenti, valutazione d'impatto, processo di data breach e non solo.

A che punto sono le aziende italiane?

A poco due anni dall'entrata in vigore del GDPR, in Italia si registrano progressi significativi in tema di adeguamento alla normativa, con aumenti nel budget a disposizione delle organizzazioni e nel grado di maturità, in termini di concretezza dei progetti e di cambiamenti organizzativi mirati.

Grazie a una Ricerca condotta dall’Osservatorio Cyber Security & Data Protection è possibile esplorare i cambiamenti in corso nelle imprese italiane relativi alla protezione dei dati personali e le azioni effettivamente messe in campo per adempire alle diverse fasi del modello di adeguamento.

A cosa si applica il GDPR, la tutela dei dati nel digitale

Il tema della tutela e della protezione dei dati personali in azienda va oltre l’applicazione del GDPR. I trend propri della Trasformazione Digitale quali Big data, Cloud, Internet of Things, Mobile e Social, richiedono nuove tecnologie, modelli organizzativi, competenze e regole per garantire insieme l’innovazione e la protezione degli asset informativi aziendali.

Nel proseguo della guida approfondiremo quindi qual è il rapporto tra Innovazione Digitale e tutela dei dati personali, attraverso diversi focus dedicati ai trend innovativi. Prima però, una domanda preliminare: cosa sono questi dati personali così importanti da tutelare?

Ebbene, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (da qui in poi, «interessato»). Tali dati possono essere poi essere distinti in Provided Data (forniti consapevolmente e volontariamente), Observed Data (raccolti automaticamente ad esempio tramite cookie), Derived Data (prodotti da altri dati in modo relativamente semplice e diretto) e Inferred Data (prodotti utilizzando un metodo analitico complesso).

La Protezione Dati nei progetti di Big Data

Considerando la crescita esponenziale del mondo Big Data, sorge spontaneo un quesito: come raccogliere i dati degli utenti e, allo stesso tempo, rispettare la loro privacy? È proprio questo il problema a cui fa fronte il GDPR.

Infatti, puntando sulla responsabilizzazione del Titolare del trattamento, l’obiettivo della normativa è garantire un livello di sicurezza dei dati conforme al loro grado di rischio. Gestire i Big Data con consapevolezza può sicuramente apportare numerosi benefici per il futuro.

GDPR e media digitali, quali impatti?

Il GPDR viene incontro sia all’esigenza delle aziende di utilizzare tecnologie per la raccolta sia al trattamento di un sempre maggior numero di informazioni, utili per diverse attività, fra cui il marketing e la clusterizzazione.

L'impatto sul mondo dei media è quindi rilevante e tocca temi fondamentali quali la profilazione a scopo di marketing e la gestione dei cookies. Alle disposizioni del GDPR si aggiunge anche il Regolamento ePrivacy, ancora in corso di approvazione, nel quale verranno disciplinate attività di marketing, eCommerce, call center e pubblicità online con effetti più che rilevanti sui media europei e mondiali.

Privacy e dispositivi IoT, come tutelare i dati

Con la crescente diffusione dei dispositivi IoT, aumentano anche i rischi per la privacy degli utenti. Infatti, come dimostrano i numerosi attacchi hacker subiti da imprese e privati, gli oggetti connessi – proprio perché collegati alla rete – presentano un’elevata vulnerabilità informatica, se non adeguatamente protetti.

Per conciliare la crescita del mercato IoT con la protezione della privacy, il GDPR regolamenta la raccolta dei dati provenienti da questi dispositivi, facendo sì che la sicurezza di tali dati sia una priorità non solo in fase di vendita di tali prodotti, ma già durante la loro progettazione (il principio della cosiddetta Privacy by design).

La Privacy per gli Smart Worker

Se applicato adeguatamente, il GDPR non dovrebbe comportare particolari difficoltà nel mondo dello Smart Working, ma i rischi di una violazione sono sempre dietro l’angolo. Infatti, le informazioni aziendali in possesso di un dipendente che lavora da casa sono altamente sensibili e le occasioni per violarne la privacy non mancano: accedendo al database aziendale, contattando i clienti o comunicando su Skype.

Ma come aiutare gli smart worker a non infrangere le regole in materia di Data Protection? La chiave sta in una formazione adeguata, in modo che i lavoratori possano cogliere fino in fondo la sensibilità dei dati in loro possesso.

Hai bisogno di maggiori informazioni? Contattaci!

  +39 345 5898 554         
  alessia.barone@osservatori.net

Inizia ora il tuo aggiornamento professionale

PROGRAMMA TEMATICO

Data Protection Officer & GDPR

Conoscere, comprendere e affrontare le nuove minacce alla sicurezza informatica sono prerogative ormai determinanti per un po’ tutte le aziende. L'Osservatorio Cyber Security & Data Protection del Politecnico di Milano offre un’occasione unica a tutti i professionisti del settore per supportare le aziende nell'adeguamento al GDPR: un programma di Webinar che puoi seguire in diretta e/o On Demand.

Scopri il Programma
gdpr-dpo