Facebook-f Twitter Linkedin-in
Cerca

GDPR: cosa di intende per Regolamento GDPR?

Nascita e definizione della legge

In pochi sanno che il GDPR General Data Protection – Regolamento GDPR UE 2016/679, la nuova legge in materia di protezione dei dati personali, è già attiva. Il regolamento, infatti, è stato già adottato il 27 Aprile 2016. Verrà applicato a partire dal 25 Maggio 2018. È questo un cambiamento importante, che interesserà profondamente aziende di ogni tipo e di ogni dimensione. Ogni organizzazione, all’interno del proprio ambito di riferimento, si trova a ricevere, scambiare, gestire e trattenere dati personali.

Cambiamenti generali e obiettivi del Regolamento GDPR

La nuova GDPR si impone alle aziende e sostituisce ormai la vecchia direttiva sulla protezione dei dati (Direttiva 995/46/EC) del 1995. Essa consta di 90 articoli. Essi specificano le nuove richieste per la gestione dei dati personali di cittadini UE e il rafforzo della relativa struttura organizzativa. Uno degli obiettivi della Commissione Europea è quello di semplificare ed unificare il contesto formativo in materia di trattamento dei dati personali, unificando i regolamenti entro l’UE e dall’UE.

Il GDPR affronta anche il tema dell’esportazione dei dati personali al fuori dell’UE. Inoltre, con il Regolamento GDPR l’Europa intende restituire ai cittadini il controllo dei propri dati personali. Dunque, in generale esso fornisce una nuova e ampia definizione dei dati personali. Imponendo processi specifici, tipi di comunicazione e caratteristiche tecnologiche che le aziende dovranno attuare per conformarsi.

Il GDPR include numerosi requisiti relativi a raccolta, archiviazione e uso delle informazioni personali, tra cui le modalità per:

  • Identificare e proteggere i dati personali nei sistemi
  • Soddisfare nuovi requisiti di trasparenza
  • Rilevare e segnalare violazioni dei dati personali
  • Formare personale e dipendenti che si occupano di privacy

Regolamento GDPR e aziende: come bisognerà regolarsi?

Le aziende che elaborano dati personali provenienti da oltre 5000 cittadini UE avranno una serie più ampia di requisiti da rispettare. Ad esempio la nomina obbligatoria di un responsabile della protezione dei dati (DPO).

In particolare, la sicurezza dei dati raccolti deve essere garantita dal titolare del trattamento e dal responsabile del trattamento. Entrambi sono chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. L’ambito d’intervento principale sarà quindi proprio quello informatico. I processi informatici utilizzati dovranno garantire un livello di protezione molto alto e dovranno essi stessi essere conformi alla legge.

Dopo la piena adozione ogni azienda dovrà quindi sollecitarsi ad adottare le misure più adeguate al raggiungimento degli obiettivi di conformità. A meno che non vorrà incorrere in pesanti sanzioni e procedimenti penali, anche questi rivisti dal nuovo regolamento, con conseguenti perdite in termini economici e di reputazione.

L’ammodernamento della legislazione in tema di privacy e quindi l’adempimento del GDPR non sarà di facile adozione ma sarà necessario.

Considerando i molti aspetti coinvolti dalla nuova legge europea, sarà utile iniziare a preparare il proprio ambiente e rivedere le procedure di gestione dei dati e della privacy. Senza rischiare di trovarsi impreparati alla sua entrata in vigore. Evitando inutili, affannose ed onerose corse contro il tempo.

Verso la conformità: passaggi fondamentali

Le aziende potranno iniziare ad utilizzare (o ad utilizzare meglio) i giusti strumenti e servizi informatici, ottimizzandone processi ed implementazioni. Per orientarsi nel percorso verso la conformità sarà utile concentrarsi su 4 passaggi fondamentali:

  1. Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
  2. Protezione a più livelli dei dati
  3. Gestione dei dati scambiati/raccolti/trattenuti
  4. Segnalazione 

Vi forniremo via via indicazioni utili in grado di accompagnarvi in questo processo di apprendimento. Infine, vogliamo segnalarvi, già da ora, che i prodotti e i servizi Cloud Microsoft (come Office 365 e relativi), così come WatchGuard dispongono già di pacchetti capaci di assicurare la conformità al GDPR. Questi sono concepiti proprio nell’ottica della responsabilità condivisa, in materia di protezione dei dati personali, con i partner e con i clienti.