Il nuovo regolamento europeo sulla protezione dei dati personali

Sicurezza web, chiave

Il 25 maggio 2018 diventerà operativo il nuovo Regolamento generale sulla protezione dei dati (GDPR - General Data Protection Regulation), relativo al “Rispetto della vita privata e la protezione dei dati personali nell'ambito delle comunicazioni elettroniche”.

Si tratta di un regolamento unico che nasce dalla necessità di uniformare le normative di tutti i paesi europei e andrà ad abrogare la Direttiva ePrivacy del 2002, che aveva generato una frammentazione applicativa dovuta alle diverse leggi nazionali di recepimento.

Il testo è stato proposto dalla Commissione Europea e rientra nella “Strategia per il Mercato Unico Digitale”, che ha l'obiettivo di uniformare le norme europee sulle comunicazioni elettroniche, tutelare la riservatezza dei dati personali e accrescere la fiducia dei cittadini nella sicurezza dei servizi digitali. Pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016, il regolamento è entrato in vigore il 25 maggio dello stesso anno.  A distanza di due anni, diventerà efficace il prossimo maggio senza richiedere alcuna procedura di recepimento.

Il regolamento generale UE va nella direzione di agevolare gli scambi internazionali di dati nell'economia digitale globale, e promuovere in tutto il mondo standard elevati di protezione dei dati. Le nuove norme tecniche di altissimo livello andranno ad allinearsi con le norme europee sulle comunicazioni elettroniche, con l'obiettivo di trovare il giusto equilibrio tra protezione della privacy dei consumatori e innovazione d'impresa. Quindi da una parte aumenta la sicurezza nelle comunicazioni elettroniche, dall'altra vengono garantite nuove opportunità commerciali per chi le gestisce, dato che il regolamento sarà applicato a tutti i fornitori di comunicazioni elettroniche.

hacker, sicurezza web


A chi è rivolto il GDPR


Il nuovo regolamento riguarderà tutte le aziende pubbliche e private che raccolgono dati personali dei consumatori. Inoltre, estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano i dati dei residenti europei, indipendentemente dal luogo dove ha sede l'azienda e da dove li trattino.

A differenza della normativa ePrivacy del 2002, che si applicava solo agli operatori di telecomunicazioni tradizionali, il nuovo regolamento sulla protezione dei dati si applica anche ai nuovi operatori che forniscono servizi di comunicazione elettronica, come Facebook, Whatsapp, Messenger, Skype, Viber, Gmail.

Si dovrà tutelare la riservatezza sia dei contenuti delle comunicazioni, che dei metadati (come il luogo della chiamata, l'orario). Contenuti e metadati dovranno essere conservati anonimi o eliminati, ad eccezione di necessità precise, come la fatturazione.


I servizi di comunicazioni elettroniche sono così definiti nella proposta di Direttiva per l'istituzione di un Codice Europeo delle Comunicazioni Elettroniche del 2016:

Sono definiti “servizi a pagamento forniti su reti di comunicazioni elettroniche, che comprendono il servizio di accesso ad internet, il servizio di comunicazione interpersonale, i servizi consistenti nella trasmissione di segnali utilizzati per fornire servizi da macchina a macchina e per la diffusione circolare radiotelevisiva, ma escludendo i servizi che forniscono contenuti trasmessi con reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale sui contenuti”.


Secondo una ricerca di ESET e IDCI, il 78% dei responsabili IT non è ancora a conoscenza della normativa né dell'impatto che avrà. Vediamo quindi come fare per adeguarsi al regolamento.


hacker, sicurezza web


Come adeguarsi al Regolamento:


In linea generale, enti e imprese dovranno agire su due fronti:
  • Dal lato tecnologico, dovranno dotarsi di sistemi di sicurezza evoluti per combattere le minacce cyber e di software adeguati al trattamento dei dati nel rispetto delle norme europee;
  • Dal lato organizzativo e legale, dovranno istituire un responsabile del trattamento dei dati (DPO, Data Protection Officer), che sia esperto nel settore in cui opera l'azienda e in grado di agire tempestivamente in caso di violazione dei dati: l'Autorità di controllo dovrà essere avvisata entro 72 ore, mentre oggi occorrono in media 205 giorni.


Il Garante della Privacy ha suggerito alle Pubbliche amministrazioni di iniziare a prepararsi per il 25 maggio 2018, indicando tre priorità:
  • Nominare in tempi stretti il responsabile della protezione dei dati;
  • Istituire il Registro delle attività, in cui vanno descritti i trattamenti dati effettuati e le procedure per la sicurezza adottate;
  • Notificare la violazione dei dati personali entro 72 ore.


La nuova figura del DPO


Tutte le imprese dovranno nominare un titolare del trattamento dei dati entro il prossimo 25 maggio. Questa nuova figura professionale, ancora poco diffusa ma che a breve sarà molto richiesta, deve avere competenze normative, tecniche, comunicative, unite ad una profonda conoscenza del settore in cui opera l'azienda. Il suo ruolo sarà quello di controllare e coordinare le politiche sulla privacy.

Il titolare può essere una persona fisica nel caso di liberi professionisti e imprese individuali, mentre nel caso in cui il trattamento dei dati venga svolto da una società o da una pubblica amministrazione, il titolare sarà l'entità nel suo complesso. Sia le persona che le società possono affidare la gestione e il controllo del trattamento ad un responsabile, anche esterno; tale designazione è facoltativa.
protezione dati, sicurezza web

Le principali novità del Regolamento


Sono molte le novità introdotte dal GDPR, per aiutare enti ed imprese ad orientarsi e ad adeguarsi alle nuove regole europee il Garante della Privacy ha messo a punto la "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali", disponibile sul sito www.garanteprivacy.it.

Vediamo qui sotto i punti principali:


Chiarezza e trasparenza

Le nuove norme semplificano la “disposizione sui cookie” e aiutano gli utenti di internet ad avere maggiore controllo sulle proprie impostazioni, modificando facilmente le loro preferenze. Gli utenti potranno accettare o rifiutare il monitoraggio dei cookies e degli altri identificatori.

Sul piano pratico, cambia la modalità di informare il consumatore sull'utilizzo dei suoi dati: le comunicazioni dovranno essere chiare, concise, formulate con un linguaggio trasparente e facilmente accessibile.

Inoltre, non sarà più necessario dare il consenso all'utilizzo dei cookies non intrusivi, cioè quelli che raccolgono dati solo per migliorare l'esperienza dell'utente sul sito (ad esempio, quelli che ricordano la cronologia degli acquisti su un e-commerce, o quelli che contano il numero di visitatori di una pagina).


Privacy by Design

Il DGPR prevede l'obbligo per le imprese di adottare sin dall'inizio del processo produttivo dei comportamenti tali da garantire la correttezza, l'integrità, la riservatezza e la sicurezza dei dati.


Privacy by Default

Sarà obbligatorio utilizzare strumenti e modalità per il trattamento dei dati in grado di semplificare le procedure e ridurre i rischi. Ogni azione che può essere resa più semplice e sicura, dovrà esserlo: ad esempio, se è possibile ridurre i passaggi di dati da un server ad un altro, bisogna farlo.


sicurezza online, protezione dati


Pseudo-anonimizzazione

Il regolamento prevede che i dati vengano conservati separatamente dagli identificativi, in modo che non possano essere collegati alle persone cui si riferiscono. Questo punto implica che le imprese debbano dotarsi di un sistema per abbinare i dati e quindi di un'organizzazione in linea con le nuove norme.


Accountability

Le imprese devono mettere in pratica quanto stabilito nella fase di analisi dei rischi, prendendo quindi tutte le precauzioni necessarie per proteggere i dati personali che gestiscono. Il titolare del trattamento sarà il responsabile che dovrà dimostrare di aver adottato tutte le misure di sicurezza previste per ridurre i rischi.


Portabilità dei dati

Tutti i residenti europei devono essere in gradi di trasferire le proprie informazioni personali da un sistema di elaborazione elettronico ad un altro, senza che il controllore dei dati possa impedirlo. I dati devono essere forniti in un formato strutturato e comprensibile.


Paesi fuori dall'UE

Viene vietato il trasferimento di dati nei paesi al di fuori dell'Unione Europea, ad eccezione dei casi in cui si abbia il consenso esplicito dell'interessato. La norma si applica anche alle imprese straniere operanti nell'UE, che dovranno a loro volta adeguarsi al GDPR.


Approfondimenti:


La guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali del Garante della Privacy:
http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali


Il portale ufficiale del General Data Protection Regulation - GDPR
https://www.eugdpr.org/eugdpr.org.html

Regolaento generale sulla protezione dei dati 
https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati#Diritto_alla_cancellazione,_limitazione_e_rettifica



Iscriviti alla newsletter