GDPR: cos’è e cosa fare per la nuova norma sui dati

Dopo diversi anni di dibattiti, rettifiche e aggiornamenti, il GDPR è stato approvato dal Parlamento dell’Unione Europea il 14 Aprile 2016.

Entrerà in vigore il 25 maggio 2018, momento in le organizzazioni soggette a tale regolamento potrebbero essere soggette a pesanti sanziono in caso di inadempienza.

Ma in cosa consiste questa normativa?

Cos’è il GDPR?

GDPR sta per General Data Protection Regulation è il nuovo regolamento sulla privacy.

Si tratta di una serie di regole che stabiliscono la corretta gestione e la sicurezza dei dati personali.

Avrà vigore non solo in tutta la comunità europea, bensì sarà applicata anche a persone giuridiche (partite iva) che hanno a che fare con organizzazioni europee, come ad esempio San Marino e Svizzera.

Per comprendere appieno cosa cambierà il 25 maggio, è importante chiarire fin da subito quali siano i dati dei quali tratta il documento.

La grande novità del GDPR è l’unione dei dati sensibili a quelli “normali”, cioè il nome, il cognome, la mail, devono essere trattati al pari dei dati sensibili, come il credo religioso, il credo politico, i gusti sessuali, ecc….Qualsiasi azienda che abbia un database di clienti e/o fornitori, è obbligata a rispettare il GDPR.

GDPR: i punti chiave da sapere

Con questo articolo non vogliamo entrare nel tecnico bensì rendere chiaro cosa cambierà con il GDPR.

Vogliamo porre l’accento su quali saranno le ripercussioni pratiche per chi dovrà attuare la normativa.

I punti chiave da conoscere sono: cosa si intende per consenso al trattamento, la figura de DPO e le sanzioni alle quali si va incontro.

Consenso

Per consenso nella normativa si intende l’esplicito permesso a utilizzare i propri dati anche solo per il semplice contatto telefonico o via email.

Le condizioni per il consenso sono state rafforzate e le aziende non saranno più in grado di utilizzare termini e condizioni illeggibili pieni di legalese.

La richiesta di tale consenso deve essere fornita in forma facilmente accessibile, deve essere chiaro e distinguibile da altre questioni e fornito in una forma intelligibile utilizzando un linguaggio chiaro e chiaro.

Deve essere inoltre altrettanto facile ritirare il consenso.

Facciamo due esempi per essere chiari.

Tutti noi abbiamo avuto a che fare con newsletter alle quali non ricordiamo di aver aderito: oggi non possiamo fare nulla se non disiscriverci.

Ma dal momento che la normativa entrerà in vigore potremo richiedere di fornirci la prova del nostro avvenuto consenso, salvo fare denuncia alle autorità se non viene prodotto.

Altro esempio: se pubblico sul mio sito web una email di contatto, posso essere contattato solo ed esclusivamente tramite quella email.

Se qualcuno telefona alla mia azienda e in qualche modo viene a conoscere la mia email personale, io posso denunciarlo anche se l’informazione è stata data da un mio collaboratore!

Sanzioni

Le sanzioni previste sono pesanti!

Per aver violato il GDPR, le organizzazioni possono essere multate fino al 4% del fatturato annuo oppure 20 milioni di euro.

Questa è la sanzione massima che può essere imposta per le violazioni più gravi, ad esempio non avendo il consenso del cliente sufficiente per elaborare i dati o violare il nucleo della privacy in base ai concetti di design.

Esiste un approccio a più livelli per le ammende, ad es. una società può essere multata al 2% per non aver ordinato i propri registri (articolo 28), non notificando all’autorità di vigilanza e alla persona interessata una violazione o non effettuando la valutazione dell’impatto.

È importante notare che queste regole si applicano a tutti i dispositivi, processi e servizi con le quali l’azienda lavora, il che significa che il cloud non sarà esentato dall’applicazione del GDPR.

Se si verifica una violazione dei dati in qualunque modo (ad esempio sono stati trafugati i dati su un server aziendale), l’organizzazione è tenuta ad autodenunciarsi presso le autorità entro 72 ore.

Deve fornire documentazione che è stato fatto tutto il necessario in termini di adempimento della normativa per non incorrere nelle sanzioni previste.

DPO

IL DPO (Data Protection Officier) è colui che si occupa del trattamento dei dati.

Si tratta di una figura altamente specializzata e aggiornata, nominata dall’azienda, che deve possedere conoscenze informatiche e conoscere processi e strumenti utilizzati per la raccolta e la conservazione dei dati.

A differenza dell’attuale Decreto 196 del 2003, dove non è stabilito che questa figura abbia le competenze necessarie, nel GDPR questa posizione deve obbligatoriamente essere occupata da colui che abbia le maggiori qualifiche scolastiche (lauree, master, ecc.).

Attenzione però: la norma prevede anche che questo ruolo possa essere ricoperto da un soggetto terzo all’azienda, purché si tratti di persona giuridica.

Scegliendo questa soluzione, l’azienda ha due vantaggi:

1. non è necessario formare qualcuno interno all’azienda sulle tematiche del GDPR,
2. in caso di problemi, la responsabilità può essere “trasferita” al soggetto incaricato.

GDPR e cybersecurity

Quello passato – il 2017 – verrà certamente ricordato come l’annus horribilis della sicurezza informatica.

Malware come WannaCry hanno colpito diverse imprese su scala globale, mentre non sono neppure calcolabili i danni fatti da ramsonware come Cryptolocker e le sue numerose varianti.

Cosa succederà se minacce minacce di questo tipo colpiranno dopo l’entrata in vigore della normativa GDPR?

Oltre ai problemi causati dalla compromissione – spesso irreparabile – dei dati, le malcapitate aziende saranno soggette alle sanzioni appena menzionate, come previsto dal nuovo Regolamento europeo.

La compromissione di dati tramite un malware è uno di quei casi previsti dalla legge che impone alle aziende di dare comunicazione di tali attacchi agli enti preposti (nel caso italiano alla Guardia di Finanza).

Cosa fare per il GDPR

Innanzitutto occorre non allarmarsi, il primo consiglio che vi diamo è quello di rivolgersi ad aziende professionali e competenti sull’argomento, come Computer Next.

Vi possiamo gestire la nomina del DPO, essere noi i vostri referenti, oppure formarvi per svolgere al meglio il compito.

È fondamentale, tuttavia, un cambio di mentalità, prevedere il concetto di privacy by design (art. 25 del GDPR), ossia considerare privacy e sicurezza informatica parte integrante del business.

Proprio come prevedere un gestionale di magazzino o un software di office automation, ad esempio!

Le operazioni di base, per aziende con più di una postazione (PC o server) indispensabili dovranno essere:

• dotarsi di un firewall di rete
• predisporre un antivirus professionale su tutti i dispositivi
• attivare una corretta strategia di backup dei dati
• mantenere i sistemi operativi aggiornati
• crittografare i dischi che contengono i dati
• installare un certificato SSL e avere un form dei contatti adeguato (per chi ha un sito web).

Quelle appena elencate sono le principali, ma ci sono altri aspetti che dipendono dal settore dell’azienda.

[thrive_leads id=’1268′]

Conclusione

Essendo una normativa europea e non nazionale, entrerà in vigore “così com’è” senza alcuna proroga né modifica per attendere le aziende ritardatarie.

Si tratta ad ogni modo, di una legge sacrosanta, in quanto il tema dei dati è molto delicato e lo sarà sempre di più in futuro.

Questi sono infatti proprietà di ogni singolo individuo ed è sacrosanto avere delle regole chiare e precise per chi li gestisce.

P.S.: tutto questo discorso vale anche per i giganti del web come Facebook e Google, quindi le aziende italiane sono in buona compagnia! 🙂

[tqb_quiz id=’1231′]